Edukator Ekonomiczny

Coś tu nie styka

Czy karty zbliżeniowe są bezpieczne?

Wielu Polakom spodobała się nowa usługa. Oszczędza się czas, bo przyłożenie karty trwa krócej niż jej włożenie do czytnika. Wielu Polakom spodobała się nowa usługa. Oszczędza się czas, bo przyłożenie karty trwa krócej niż jej włożenie do czytnika. Marek Sobczak / Polityka
Karty zbliżeniowe są dzisiaj w Polsce bardzo popularne, głównie dlatego, że banki innych już niemal nie wydają. Jednak część klientów nowej technologii nie ufa. Nawet jeżeli z tą ostrożnością przesadzają, to powinni mieć wybór i sami decydować, jaką kartę wybrać. A tak nie jest.
MS/Polityka

Z bankowej oferty Polacy w ogóle korzystają dość oszczędnie. Tylko w dwóch krajach członkowskich UE (Rumunia i Węgry) w przeliczeniu na mieszkańca wydano do tej pory mniej kart płatniczych niż w Polsce. Pod względem gęstości sieci terminali do transakcji bezgotówkowych też jesteśmy w Unii daleko, bo na trzecim od końca miejscu. Aż ¼ Polaków nadal nie ma konta w banku, a ponad 80 proc. zobowiązań regulujemy gotówką. Tylko kart z funkcją do mikropłatności bezstykowych (bez użycia PIN) mamy najwięcej w Europie.

Bezdotykowo lub nie

To efekt szeroko zakrojonej akcji banków wspomaganych przez organizacje kartowe Visa i MasterCard, które z własnej inicjatywy niemal wszystkim dotychczasowym klientom zaczęły wymieniać karty na te z wtopioną w plastik antenką pozwalającą płacić zbliżeniowo. Pod koniec I kwartału 2013 r. Polacy mieli ich w portfelach już 16 mln sztuk. To prawie połowa wszystkich wydanych kart (patrz wykresy na s. obok). Klienci dostają je zazwyczaj, gdy ich dotychczas użytkowany plastik traci ważność, ale banki nie zawsze pytają, jaki rodzaj karty chcemy dostać.

Liczba nowych kart zbliżeniowych rośnie więc po części przymusowo, ale już liczba takich transakcji – całkiem dobrowolnie. Widać, że wielu Polakom spodobała się nowa usługa. Oszczędza się czas, bo przyłożenie karty trwa krócej niż jej włożenie do czytnika. Poza tym w przypadku transakcji o wartości poniżej 50 zł nie trzeba zazwyczaj wprowadzać numeru PIN, co pozwala oszczędzić kolejne sekundy. O szybkość i wygodę chodziło właśnie instytucjom finansowym, które zdecydowały się zainwestować duże pieniądze w nową technologię. Upraszczając maksymalnie sposób płatności, łatwiej też im było przekonać klientów do używania kart nawet w przypadku drobnych, kilkuzłotowych zakupów w lokalnym kiosku. Pod warunkiem, że sprzedawcy w ogóle akceptują transakcje bezgotówkowe.

Równocześnie rozpoczął się program modernizacji i wymiany terminali. Trzy lata temu urządzeń przyjmujących płatności zbliżeniowe praktycznie w Polsce nie instalowano w punktach sprzedaży. Dziś jest ich już ponad 120 tys. (na niespełna 300 tys. wszystkich terminali), a za kilka lat innych pewnie nie będzie.

Jednak nie wszyscy klienci godzą się na konieczność posiadania kart zbliżeniowych, który wprowadziła część banków. Te nie wydają już żadnych kart bez technologii PayPass czy payWave. Niektóre instytucje, jak mBank czy PKO BP, na żądanie klienta są skłonne tę funkcję wyłączyć, jednak inne do tej pory uparcie odmawiały takiej możliwości. Sprawa zrobiła się na tyle głośna, że zajęła się nią Rada ds. Systemu Płatniczego działająca przy zarządzie NBP. Pod koniec czerwca wydała rekomendację dla wszystkich działających w Polsce banków. Powinny one w ciągu pół roku dać swoim klientom wybór i pozwolić im albo wyłączyć funkcję zbliżeniową w swoich kartach, albo wydawać na życzenie karty w ogóle bez tej technologii. Rekomendacja nie jest co prawda wiążąca, ale banki zapewne się do niej dostosują. Gdyby tak się nie stało, Rada może wnioskować o rozpoczęcie prac nad stosownym projektem ustawy.

Ile można stracić

Na to, że spora grupa klientów nie ufa kartom zbliżeniowym, wpływ mają przede wszystkim ich obawy o bezpieczeństwo przeprowadzanych transakcji. Potencjalnych zagrożeń jest wiele, choć część z nich bankowym informatykom wydaje się mocno wyolbrzymiona. Teoretycznie możliwe jest np. zeskanowanie danych z karty zbliżeniowej przez złodziei wyposażonych w specjalny czytnik.

W praktyce mogliby w ten sposób odczytać tylko numer karty i jej datę ważności, a to za mało informacji np. przy płaceniu przez Internet. Ale nie da się już zeskanować ani nazwiska właściciela, ani trzycyfrowego kodu CVC2 umieszczonego na odwrocie karty – mówi Jonathan Grossar, ekspert od płatności zbliżeniowych w polskim oddziale MasterCard. Także opowieści o oszustach z przenośnymi terminalami ukrytymi w kieszeniach, próbującymi obciążać karty nieświadomych przechodniów, należy raczej włożyć między bajki. Rzeczywiste ryzyko jest znacznie bardziej banalne.

Dotyczy ono przede wszystkim sytuacji, w której karta zostanie ukradziona. Wówczas to, co jest jej największą zaletą, staje się także największym zagrożeniem. W przypadku transakcji zbliżeniowych poniżej 50 zł do jej realizacji najczęściej nie jest wymagany ani numer PIN, ani podpis. Złodziej zatem może taką kartą zrobić zakupy na mniejsze kwoty. Rzecz jasna, banki stosują różne limity dotyczące takich transakcji. Czasem po kilku płatnościach zbliżeniowych klient zostanie poproszony o podanie numeru PIN. Ale w innych przypadkach samo przyłożenie karty jest skuteczne wiele razy z rzędu.

Płatności zbliżeniowe są realizowane w dwóch trybach: online oraz offline. Te techniczne kwestie zazwyczaj wydają się nieistotne dla płacącego, ale stają się ważne w przypadku kradzieży karty. Podczas transakcji w trybie online terminal łączy się z bankiem, który wystawił kartę i sprawdza, czy nie jest zastrzeżona oraz czy są na niej wystarczające środki. Często jednak w przypadku drobnych płatności niewymagających podawania numeru PIN stosowany jest tryb offline. W tym przypadku terminal w ogóle nie kontaktuje się z bankiem, więc nie może stwierdzić, czy karta nie została np. przed chwilą zastrzeżona.

 

Tryb offline ma tę zaletę, że jeszcze bardziej przyspiesza tempo transakcji. Trwa ona wówczas zaledwie kilka, a nie kilkanaście sekund, jak w przypadku trybu online, gdy trzeba nawiązać połączenie z bankiem. W trybie offline jedynym zabezpieczeniem jest sprawdzenie limitów ustalonych na samej karcie przez bank. Czasami po kilku transakcjach offline lub po przekroczeniu pewnej kwoty karta poinformuje terminal i użytkownika, że następną płatność trzeba wykonać w trybie online, czyli połączyć się z bankiem.

Kłopot w tym, że banki nie udzielają publicznie informacji, jak skonfigurowały wydawane przez siebie karty. Z danych zbieranych przez Komisję Nadzoru Finansowego (KNF) wynika, że żadnych sztywnych reguł w tym przypadku nie ma. Także organizacje Visa i MasterCard wystawcom kart pozostawiają duże pole manewru. – Banki mogą indywidualnie ustalać limity offline dla kart zbliżeniowych Visa. Co więcej, mają możliwość wprowadzania odrębnych limitów dla różnych produktów czy nawet indywidualnie dla poszczególnych kart – mówi Jakub Kiwior, dyrektor Visa Europe w Polsce.

Praktyka bywa różna. Część banków zezwala na transakcje w trybie offline, uznając, że szybkość i wygoda są ważniejsze od nieustannej kontroli. Inne wolą raczej tryb online, ale większość wybiera mieszankę tych dwóch procedur. Publicznie nie chcą się na ten temat wypowiadać. Kto nie padł ofiarą złodzieja, ten nie wie i często nigdy się nie dowie, jak dokładnie wyglądają mechanizmy płatności zbliżeniowych stosowanych przez jego bank. Jednak ryzyko istnieje, o czym niektórzy zdążyli się już przekonać.

Co dzieje się w przypadku kradzieży karty lub zeskanowania poufnych informacji i utraty pieniędzy podczas hakerskiej transakcji zbliżeniowej? Do tej pory bankowe przepisy nie traktowały ich inaczej niż transakcji tradycyjnych. Oznacza to, że jeśli karta nie była ubezpieczona od kradzieży, klient ponosił odpowiedzialność do równowartości 150 euro, o ile nie zdążył szybko zaalarmować banku. W praktyce banki postępują bardzo różnie. Niektóre zwracają klientom pieniądze za wszystkie nielegalne transakcje przeprowadzone bez użycia numeru PIN, inne każdy przypadek analizują oddzielnie. Dla pewności posiadacze kart z funkcją zbliżeniową powinni mieć ubezpieczenie, ale to zazwyczaj dodatkowy koszt rzędu 2–3 zł miesięcznie.

Uwaga, debet!

Trzeba jednak pamiętać, że banki pozwalające na dezaktywację funkcji zbliżeniowej zazwyczaj robią to tylko raz. Gdy klient zmieni zdanie, nie będzie mógł tego mechanizmu na swojej karcie ponownie włączyć. Rada ds. Systemu Płatniczego zaleca bankom obniżenie progu odpowiedzialności klientów dla transakcji zbliżeniowych. – Chcemy, żeby spadł on z obecnych 150 do 50 euro tam, gdzie klient będzie miał możliwość decydować, czy chce mieć włączoną funkcję zbliżeniową. Natomiast banki, które nie dadzą takiego wyboru, powinny w całości przejąć na siebie ryzyko związane z płaceniem bezstykowo – mówi Renata Pawlicka, zastępca dyrektora Departamentu Systemu Płatniczego NBP. W ten sposób udałoby się zwiększyć zaufanie do zbliżeniówek.

Mało kto jednak wie, że sposób autoryzacji płatności zbliżeniowych może mieć przykre konsekwencje, nawet gdy karty nie straciliśmy. Skoro w trybie offline nie odbywa się żadna weryfikacja, nie wiadomo również, czy klient ma jeszcze środki na koncie w przypadku karty debetowej lub czy nie przekroczył dopuszczalnego limitu, jeśli posługuje się kredytówką. Zdarzają się zatem przypadki, w których płacenie zbliżeniowo może doprowadzić do powstania debetu lub nieautoryzowanego ujemnego salda. A za to banki naliczają często karę. Klienci bronią się, argumentując, że przecież terminal powinien wówczas odrzucić płatność, ale skoro działa offline, to… nie potrafi tego zrobić.

To kolejny sporny punkt, którym niedawno zajęła się Rada ds. Systemu Płatniczego. Słusznie zaleca, żeby w takich sytuacjach banki nie naliczały kar, bo klient nie był przecież informowany, że przekracza limit. Zanim jednak stosowne zmiany zostaną wprowadzone do bankowych regulaminów, nie pozostaje nic innego jak mocno uważać, gdy środki na koncie się wyczerpują, i dla pewności w takich sytuacjach zawsze płacić tradycyjnie. Jednak czasami i to nie pomoże, bo zdarzają się sytuacje, w których już nawet transakcja stykowa na mniejszą kwotę przeprowadzana jest w trybie offline. Tak na przykład działają biletomaty we wrocławskich autobusach i tramwajach.

Banki i organizacje kartowe oczywiście podkreślają, że choć płatności zbliżeniowe niosą zagrożenia, to liczba skarg klientów pozostaje niewielka. Przypadki oszustw należą do rzadkości, a zdecydowana większość użytkowników nie ma problemów z tymi kartami. Według informacji zebranych w tym roku przez Komisję Nadzoru Finansowego, mniejsze banki przyznają się zaledwie do około stu reklamacji z powodu nieuprawnionych transakcji zbliżeniowych od chwili wprowadzenia nowych kart do swojej oferty. W przypadku większych – liczba skarg nie przekroczyła dla pojedynczej instytucji 2,5 tysiąca.

To śladowe ilości (transakcji kartowych jest w Polsce ok. 2 mld rocznie), chociaż nie wiadomo, czy wszystkie ­podejrzane operacje zostały przez klientów wychwycone. Najważniejsze jednak, żeby każdy klient banku czuł się ze swoją kartą bezpiecznie. A kto nie chce płacić zbliżeniowo, powinien mieć możliwość pozostania przy tradycyjnym plastiku.

Polityka 47.2013 (2934) z dnia 19.11.2013; Edukator ekonomiczny; s. 40
Oryginalny tytuł tekstu: "Coś tu nie styka"
Więcej na ten temat
Reklama

Czytaj także

null
Świat

Trump bierze Biały Dom, u Harris nastroje minorowe. Dlaczego cud się nie zdarzył?

Donald Trump ponownie zostanie prezydentem USA, wygrał we wszystkich stanach swingujących. Republikanie przejmą poza tym większość w Senacie. Co zadecydowało o takim wyniku wyborów?

Tomasz Zalewski z Waszyngtonu
06.11.2024
Reklama