Kradzież portfela, w którym nosimy kartę płatniczą z funkcją zbliżeniową może mieć dla nas bardzo poważne skutki finansowe. Transakcje w trybie offline, choć ograniczone jednorazowo kwotą 50 zł, nawet przy pustym koncie właściciela karty mogą generować straty.
Piotr Waś, Country Manager Ingenico na Polskę i Kraje bałtyckie / Media

Według danych Związku Banków Polskich z marca 2014 roku Polacy mają w swoich portfelach ponad 20 milionów kart zbliżeniowych. Płatność kartą zbliżeniową odbywa się w trybie offline – oznacza to, że system nie pyta banku, czy posiadamy na koncie pieniądze a jedynie automatycznie potwierdza płatność. Taka transakcja jest bardzo szybka, ale jednocześnie wiąże się z wieloma niebezpieczeństwami na jakie naraża się klient banku.

Podstawowym zagrożeniem jest bezpośrednia kradzież karty. Zanim zorientujemy się, że karta została skradziona i zastrzeżemy ją, złodziej może dokonać pewnej liczby transakcji bez konieczności wstukiwania PIN-u (wartość takich transakcji musi być niższa niż 50 złotych). Jak wielu takich transakcji może dokonać ktoś, kto nie jest prawowitym właścicielem karty? Tego nie wiadomo, gdyż banki strzegą tych danych także dla bezpieczeństwa klientów i ich pieniędzy.

Co powinniśmy zrobić, kiedy zorientujemy się, że nasza została skradziona lub zgubiona? Bankowcy radzą, aby zbyt długo jej nie szukać, ale natychmiast zgłosić zdarzenie do banku. Teoretycznie po zgłoszeniu kradzieży bank przejmuje pełną odpowiedzialność za nieuprawnione transakcje. W praktyce wygląda to jednak tak, że bank odpowiada, ale tylko i wyłącznie za nieuprawnione transakcje dokonane kartą skradzioną lub zgubioną powyżej kwoty 50 euro. Poniżej tej kwoty odpowiedzialność spada na klienta.

Co ciekawe złodziej ma możliwość dokonania kradzieży także po zastrzeżeniu karty. Jednak od tego momentu odpowiedzialność za to bierze na siebie bank. Odpowiedzialność klienta za transakcje skradzioną kartą może też przejść na ubezpieczyciela – dzieje się tak w przypadku wykupienia w banku ubezpieczenia do karty. Jednak ubezpieczenie, które zazwyczaj wynosi kilka złotych miesięcznie, może nie być warte procedur i ostatecznego procentu zwrotu za zaistniałą sytuację.

Przy transakcjach offline musimy pamiętać o jeszcze jednym, konsumenckim zagrożeniu. Dokonując płatności zbliżeniowych bank nie weryfikuje salda na rachunku powiązanym z kartą. A to oznacza, że na naszym koncie na koniec miesiąca może pojawić się saldo ujemne.

Jak wyłączyć funkcję zbliżeniową?

Zgodnie ze znowelizowaną Rekomendacją D Komisji Nadzoru Finansowego banki zostały zobligowane do udostępnienia swoim klientom możliwości wyłączenia funkcji zbliżeniowej w posiadanych przez nich kartach. W zależności od banków, ograniczenia te zostały w różny sposób zaoferowane klientom. Klient sam może podjąć decyzję czy chce zablokować całkowicie dokonywanie transakcji zbliżeniowych, czy jedynie wyłączyć funkcjonalność offline. W tym przypadku funkcja zbliżeniowa będzie aktywna, ale system połączy się z bankiem, aby sprawdzić nasz stan posiadania na koncie.

Jak wyłączyć funkcję zbliżeniową? Aby tego dokonać należy udać się do oddziału lub skontaktować się z infolinią banku oraz złożyć dyspozycję zablokowania funkcji dla posiadanej karty. W tym przypadku banki maja różną politykę. Co do zasady większość polskich banków oferuje wyłącznie karty z funkcją zbliżeniową, którą można wyłączyć lub zmodyfikować. Jednym z wyjątków jest Eurobank, który nadal oferuje plastiki również z opcją bezstykową. W zależności od banku wyłączenie funkcji zbliżeniowej jest też odwracalne lub ostateczne.

Samo zablokowanie funkcji zbliżeniowej nie zawsze jest automatyczne i to klient musi wykonać kilka czynności w tym celu. Na przykład w PKO Banku Polskim w przypadku kart ze znakiem akceptacji Visa, po upływie dwóch dni roboczych od daty złożenia dyspozycji trzeba dokonać operacji w sposób standardowy poprzez umieszczenie karty w terminalu płatniczym lub bankomacie i potwierdzenie operacji PIN-em. W przypadku kart ze znakiem akceptacji MasterCard, funkcja będzie zablokowana po upływie 2 dni roboczych bez dodatkowych obostrzeń.

Fałszywe czytniki kart zbliżeniowych? Mit

Od czasu do czasu na forach lub w zagranicznych serwisach pojawiają się informacje dotyczące rzekomych złodziei, którzy dokonują, za pomocą specjalnie skonstruowanych czytników, nieautoryzowanych transakcji, przykładając owe czytniki do naszych toreb czy kieszeni. W Polsce jak dotąd nie odnotowano jednak żadnego przypadku tego typu kradzieży, co potwierdzają bankowcy. „Od zaoferowania kart bezstykowych klientom nie odnotowaliśmy ani jednej nieautoryzowanej transakcji zbliżeniowej, dokonanej bez fizycznego udziału karty. Inaczej mówiąc - dopóki przestępca nie wejdzie w posiadanie karty, nie ma możliwości dokonania transakcji zbliżeniowej. Historie o czytnikach, które potrafią przechwycić nasze dane z karty i później przy ich pomocy dokonać transakcji, są niczym więcej niż mitem w realiach rynku kart mikroprocesorowych. Nagłaśnianie przez niektóre media pokazowe ataki technologiczne były przeprowadzane jedynie w warunkach laboratoryjnych, a z uwagi na standardy technologiczne, czyli kryptograficzną ochronę danych samych kart mikroprocesorowych i dokonywanych nimi transakcji, takie metody nie znajdują zastosowania w praktyce przestępczej” – przekonuje Tomasz Bogusławski z banku Pekao S.A.

Wtóruje mu Krzysztof Olszewski, rzecznik mBanku: „mBank nie odnotował przypadku kradzieży, która odbyłaby się za pomocą mobilnego czytnika kart. Kradzieże za pomocą takiego czytnika to mit - byłyby zbyt skomplikowane i nierealne do przeprowadzenia w rzeczywistości. Proszę też zwrócić uwagę, że terminale działają w sieciach – nie są to urządzenia pre-paid, anonimowe… Wiadomo kto jest posiadaczem terminala”

Płatności mobilne nie rozwiążą problemu

Czy płatności mobilne, w szczególności te dokonane za pośrednictwem technologii NFC (tej samej, która jest stosowana w kartach zbliżeniowych) mogą być bezpieczniejsze od standardowych płatności zbliżeniowych? Okazuje się, że nie jest to takie proste. Co prawda w przypadku NFC mamy dodatkowe zabezpieczenie na telefonie – kod dostępowy. Również same aplikacje posiadają ustalane przez właściciela kody, które też trzeba złamać. Nie zmienia to jednak faktu, że w przypadku kradzieży telefonu klient, tak jak w przypadku kradzieży standardowej karty, powinien zastrzec kartę SIM.

Płatności mobilne dokonywane z użyciem unikatowych kodów również wydają się bezpieczne. W przypadku aplikacji PeoPay, to klient decyduje o limicie transakcji, do której nie wymagany będzie kod PIN. Może więc ustawić ten limit na 0 zł - wtedy każdą, nawet najmniejszą transakcję będzie musiał autoryzować kodem PIN (maksymalna wysokość limitu to 50 złotych). Poza tym zgubienie bądź kradzież telefonu z aplikacją PeoPay nie otwiera dostępu do środków klienta, gdyż logowanie do aplikacji wymaga podania kodu PIN.

Pomimo to nadal nie można w tym przypadku mówić o większym bezpieczeństwie transakcji - zawsze istnieje bowiem ryzyko nieuprawnionego użycia telefonu, karty czy gotówki. A dodatkowo, na korzystających z telefonów, czekają pułapki zastawiane przez hakerów.

Opinia

Kradzież z karty zbliżeniowej za pomocą przenośnego czytnika?

"Nie słyszałem nigdy o takiej sytuacji. Polska jest najbardziej zaawansowanym rynkiem na świecie, jeśli chodzi o płatności bezstykowe, skoro u nas nic takiego nie wystąpiło, to tym bardziej nie można wierzyć plotkom z innych państw. Technologia NFC wymaga zbliżenia karty do czytnika na bardzo małą odległość, praktycznie uniemożliwiającą tego typu nadużycia. Sam odczyt karty nie wystarcza aby ją sklonować. Poza tym czytnik musiałby być wpięty do środowiska agenta rozliczeniowego, bo w przeciwnym przypadku nie ma jak zrealizować transakcji. Zamiast inicjować transakcję bezstykową, złodzieje wykorzystywaliby inne, prostsze sposoby kradzieży, np. fizyczną kradzież karty. Z punktu widzenia posiadacza karty ważne jest, że w takich sytuacjach jest on chroniony przez regulacje Visa i MasterCard"