Czy transakcje bezstykowe są faktycznie niebezpieczne?

Sylwia: Osiem lat temu powiedzenie, że „czas to pieniądz” nabrało całkiem innego wymiaru. Wszystko za sprawą kart płatniczych wyposażonych w opcję płatności zbliżeniowych, które przyśpieszyły proces zakupowy. Sytuacje, gdy nerwowo grzebiemy w portfelu w poszukiwaniu drobnych narażając się na zdegustowane miny i niepochlebne uwagi osób stojących za nami w kolejce czy wysłuchiwanie standardowego „Czy mogę być winna grosika?” praktycznie odchodzą w niepamięć. Wystarczy przecież wyciągnąć kartę i zbliżyć ją do czytnika na odległość ok. 5 cm, aby w zaledwie przeciętnie w 12,5 sekundy sfinalizować zakupy nieprzekraczające wartości 50 zł. Wszystko to bez przeciągania karty przez czytnik lub wkładania do terminala oraz wpisywania PIN-u czy składania podpisu potwierdzającego to, że karta należy do nas. Szybko i wygodnie, ale w głowach wielu z nas wciąż pozostaje pytanie – czy bezpiecznie? Obawa, że ktoś skopiuje dane z karty i wykorzysta je do wyzerowania konta to jeden z podstawowych powodów, dla którego nie chcemy posiadać plastikowego pieniądza wyposażonego w technologię PayPass (karty MasterCard) lub payWave (karty Visa). Czy słusznie? W pierwszym odcinku Pogromców Finansowych w 2015 roku spróbujemy rozprawić się z tym mitem i zobaczymy, czy rzeczywiście diabeł nie jest taki straszny, jak go malują.

Płatności zbliżeniowe powyżej 50 zł

Rafał: Zacznijmy od obalenia pierwszego popularnego mitu związanego płatnościami zbliżeniowymi. Chodzi o możliwość sfinalizowania transakcji opiewającej na kwotę nie przekraczającą 50 zł. Otóż, to nieprawda. Do tej kwoty możemy zapłacić za drobne zakupy bez autoryzacji transakcji. Jednak gdy przekroczymy ten limit również możemy skorzystać z opcji płatności bezstykowej, ale wówczas do jej zatwierdzenia wymagane jest wklepanie PIN-u lub złożenie podpisu na rachunku. Tak naprawdę górna granica wysokości transakcji jest zależna od stanu naszego konta lub limitów wysokości wypłat wyznaczonych przez nasz bank. Ważna uwaga dla osób korzystających z kart zbliżeniowych poza granicami Polski. Otóż limit na terenie Unii Europejskiej wynosi 15 euro, w Wielkiej Brytanii jest to 15 funtów, a w USA – 25 dolarów.

Płacenie telefonem… a nawet breloczkiem

Sylwia: Kolejne przekonanie wiąże się z tym, że karta wyposażona w PayPass czy payWave to jedyny sposób na przeprowadzenie transakcji bezstykowej. To również mija się z prawdą. Popularnym rozwiązaniem staje się płacenie za zakupu za pomocą smartfona wyposażonego w moduł NFC (Near Field Communication) oraz specjalną kartę SIM. W niektórych przypadkach, np. IKO (produkt PKO Banku Polskiego), iKASA (produkt Biedronki) czy PeoPay (produkt Banku Pekao) do zastąpienia karty płatniczej telefonem wymaga zainstalowania na nim dedykowanej aplikacji.

Martyna: Nie można też zapominać o specjalnych naklejkach, które można umieścić na dowolnym przedmiocie, nie tylko telefonie czy w portfelu. Do tego dochodzą jeszcze breloczki, zegarki czy nawet, w wersji dla dzieci, pluszowe maskotki umożliwiające płatności zbliżeniowe. Sama płatność odbywa się analogicznie do tej wykonywanej przy użyciu karty – wystarczy dany przedmiot zbliżyć na odległość ok. 5 cm od terminala.

Przechwytywanie danych

Sylwia: Jednym z powszechnych przekonań, które utkwiło w głowach Polaków, jest opcja przechwycenia danych z karty np. w trakcie jazdy tramwajem czy autobusem lub w innym, zatłoczonym miejscu. Wygląda to tak, że jedna osoba zbliża się do nas na niewielką odległość i za pomocą telefonu wyposażonego w specjalną aplikację przysuniętego w okolice miejsca, gdzie trzymamy kartę, „klonuje” dane (numer karty oraz datę jej ważności) przesyłając je na smartfon znajdujący się w rękach drugiego złodzieja, który w tym czasie dokonuje płatności zbliżeniowej. W praktyce wygląda to tak, że taki atak umożliwia jedynie jednorazową kradzież. Dlaczego? Dominik, opowiedz nam, jak od strony technicznej wygląda proces transakcji bezstykowej?

Dominik: Warto dodać, że takich akcji skimmingowych jest jak na lekarstwo. Ale wracając do pytania, na pokładzie „zbliżeniówki” jest umieszczony mikroprocesor i antena, a kodowanie informacji oparte jest o technologię RDIF (Radio Frequency Identification). Bezprzewodowa wymiana danych między kartą a terminalem znajdującymi się w swoim zasięgu odbywa się za pomocą sygnału radiowego niskiej mocy. Dodatkowo, przy każdej transakcji bezstykowej generowany jest jednorazowy kod CVV. Stąd też niemożliwe jest, aby przy użyciu sklonowanej karty dokonać więcej niż jednej płatności, gdyż każda kolejna próba kończy się jej odrzuceniem.

Martyna: Warto podkreślić, że bez zainicjowania przez sprzedawcę procesu płatności w terminalu nie ma możliwości, aby z naszej karty zostały sczytane jakiekolwiek dane. Najpierw należy aktywować czytnik poprzez wprowadzenie do niego m.in. kwoty, którą mamy zapłacić, następnie pojawia się ona na POS-ie, wówczas my przystawiamy do niego kartę i dopiero charakterystyczny sygnał i zaświecenie się diod na terminalu na kolor zielony oznacza, że operacja została zakończona pomyślnie.

Transakcje offline

Dominik: Rafał, a co z tzw. transakcjami offline?

Rafał: Niestety, to, że szybko zapłacimy za zakupy wcale nie jest równoznaczne z czasem zaksięgowania operacji. Mamy do czynienia z dwoma rodzajami systemu autoryzacji – online, czyli takim, który w danej chwili łączy się z bankiem w celu sprawdzenia, czy mamy odpowiednią ilość środków na koncie, aby dokonać płatności oraz offline. W drugim przypadku, transakcje są zbierane bez połączenia z bankiem, a ich zaksięgowanie może trwać nawet kilka dni. Do tego czasu nie są one widoczne w historii operacji na naszym rachunku bankowym. Wszystko jest w porządku, jeśli dysponujemy odpowiednią kwotą. Problem pojawia się w momencie, gdy z powodu braku zaksięgowania transakcji wydaje nam się, że wciąż posiadamy pieniądze i finalizujemy kolejne zakupy z pomocą karty, a tu okazuje się, że dawno wykorzystaliśmy limit i mamy debet. Niestety, limity transakcji offline są niejawne właśnie ze względów bezpieczeństwa. Jednocześnie, banki chcąc maksymalnie chronić klientów, stosują tzw. blokowanie środków na rzecz przyszłych wydatków dokładnie na kwotę, na którą opiewała operacja. Warto dodać, że przy kolejnej próbie płatności zwykle jest ona odrzucana.

Bezpieczeństwo transakcji zbliżeniowych

Martyna: Na szczęście istnieje prosty sposób, który pozwala zmniejszyć do zera ryzyko odczytu danych z naszej karty. Chodzi o noszenie plastiku w specjalnym etui albo portfelu ekranizującym fale radiowe. Z domowych rozwiązań zaleca się owinięcie folią aluminiową. Należy również unikać noszenia kilku „zbliżeniówek” w jednym miejscu.

Dominik: Zawsze możemy też zgłosić naszemu bankowi chęć wyłączenia opcji PayPass lub payWave. Od 1 kwietnia 2014 roku banki nie mogą nam już narzucać konieczności posiadania z karty wyposażonej w technologię bezstykową. Co więcej, jeśli instytucja finansowa nie może spełnić naszej prośby, powinna wydać nam nowy plastik bez funkcji zbliżeniowej.

Rafał: Innym potwierdzeniem wysokiego bezpieczeństwa transakcji bezstykowych mogą być dane Europejskiego Banku Centralnego, zgodnie z którymi, w Polsce wartość nieuprawnionych płatności w całkowitej wartości operacji wykonanych kartami wynosi 0,005 proc. Dla porównania w takich krajach jak Luksemburg, Francja czy Wielka Brytania parametr ten oscyluje wokół 0,045 proc. Mówiąc prościej, nad Wisłą na 100 euro uregulowane kartą przypada 0,5 euro operacji niezgodnej z prawem.

 

 

Martyna: Warto zwrócić uwagę na pewien paradoks: powątpiewamy w pełne bezpieczeństwo transakcji bezstykowych, a jednocześnie jesteśmy liderem tego typu operacji w Europie. Co więcej, to nad Wisłą po raz pierwszy we środkowo-wschodniej części Starego Kontynentu dokonano płatności zbliżeniowej. Transakcja miała miejsce 12 grudnia 2007 roku, a wykonano ją kartą MasterCard wydaną przez BZ WBK. W naszych portfelach jest 35 mln kart płatniczych, z czego blisko 21 mln wyposażono w technologię PayPass lub payWave, co stanowi prawie 58 proc. wszystkich plastikowych prostokątów posiadanych przez Polaków. Co więcej, mamy najlepiej rozwiniętą infrastrukturę dla płatności zbliżeniowych – obecnie z takiej możliwości możemy skorzystać dzięki blisko 180 tys. dedykowanych im terminali. Co więcej, według First Data Polska, do końca 2016 roku wszystkie nowe POS-y mają oferować funkcję bezstykową.

Sylwia: Brzmi nieźle. Czas zebrać wyniki naszego śledztwa i ustalić, jak to w końcu jest z transakcjami bezstykowymi – możemy ze spokojną głową korzystać z szybkiej i wygodnej formy zapłaty czy też jak najszybciej udać się do swojego banku, aby wyłączył technologię zbliżeniową na naszej karcie. Tak naprawdę, istnieją dwa realne zagrożenia związane z posiadaniem „zbliżeniówki”. Pierwsze wiąże się z kradzieżą lub zgubieniem karty, co do momentu aż zorientujemy się, że jej nie mamy może kosztować nas wyczyszczenie stanu konta – płatności na kwotę 50 zł można dokonywać wielokrotnie. Należy też zauważyć, że gdy padniemy ofiarą przestępstwa, do momentu zgłoszenia tego faktu w banku i zastrzeżenia karty, będziemy w pełni odpowiedzialni za wszelkie transakcje poniżej 150 euro, czyli przeszło 600 zł. Dopiero kradzież środków przekraczająca tę kwotę sprawia, że bank bierze na siebie ewentualne koszty operacji dokonanych przez nieuprawnioną osobę. Drugie niebezpieczeństwo, to wspomniane transakcje w trybie offline, które mogą doprowadzić nas do debetu na koncie. Poza tym transakcje bezstykowe są bezpiecznym rozwiązaniem.



Dodaj komentarz

avatar
  Powiadomienia o komentarzach  
Powiadom o