Skala oszustw i kradzieży przy wykorzystaniu technologii zbliżeniowej jest podobna, jak przy tej tradycyjnej. Grupa robocza działająca przy NBP wyda wkrótce rekomendacje, które jeszcze bardziej zmniejszą ryzyko.
W przyszłym miesiącu rada ds. systemu płatniczego działająca przy Narodowym Banku Polskim zapozna się z raportem specjalnej grupy roboczej badającej
oszustwa z wykorzystaniem kart zbliżeniowych. Informacje na ten temat pojawiają się na tyle często, że NBP postanowił zbadać sprawę. Wcześniej rada zapoznała się z kilkoma raportami przygotowanymi m.in. przez Związek Banków Polskich i Komisję Nadzoru Finansowego. Z żadnego nie można wywnioskować, że karty zbliżeniowe są bardziej niebezpieczne niż tradycyjne. Grupa robocza ma jednak przygotować rekomendacje zmian procedur w bankach, aby zminimalizować ryzyko, jakie może wystąpić w procesie wydawania i używania kart bezstykowych.
Już dziś można domyślić się, na czym mogą polegać te rekomendacje. Zanim jednak do tego przejdziemy, warto scharakteryzować zasady działania kart zbliżeniowych, co pozwoli zrozumieć, dlaczego zyskują na popularności i dlaczego obawy o ich bezpieczeństwo są nieuzasadnione.
Technologia zbliżeniowa, czyli NFC (z ang. near field communication), nie jest nowa. Istnieje już dobrych kilkanaście lat. Nowością jest jedynie jej wykorzystanie do komunikacji karty bankowej z terminalem płatniczym, a ostatnio także z bankomatem. Jak to działa? W każdej karcie zbliżeniowej znajduje się niewielka antena. Dzięki niej terminal POS może komunikować się z plastikiem bez konieczności fizycznego kontaktu. Jednak żeby doszło do wymiany informacji koniecznych do dokonania transakcji, karta musi być zbliżona do czytnika terminalu na dosłownie kilka milimetrów. Aby korzystanie z kart bezstykowych było jeszcze wygodniejsze, a transakcja trwała krócej, organizacje płatnicze wpadły na pomysł, by niewielkie operacje, w polskich warunkach o wartości do 50 zł, nie musiały być potwierdzane kodem PIN. Dodatkowo umożliwiono przeprowadzanie
transakcji offline, czyli bez konieczności łączenia się za każdym razem przez terminal z centrum autoryzacyjnym banku w celu sprawdzenia, czy właściciel karty ma na koncie środki uprawniające do jej wykonania.
Cechy, które zapewniają kartom zbliżeniowym przewagę nad tradycyjnymi, są jednocześnie ich piętą achillesową. To, że przy mikropłatnościach nie trzeba autoryzować
transakcji osobistym kodem, naraża na straty w sytuacji, gdy karta znajdzie się w niepowołanych rękach. Z kolei nierozliczone transakcje offline potrafią się kumulować i wpędzić użytkownika w kłopoty. Wystarczy wyobrazić sobie sytuację, że klient ma na koncie niewielką kwotę, którą wydaje po trochu, płacąc kilka razy za niewielkie zakupy. Ze względu na to, że bezpośrednio po transakcji środki nie są blokowane na rachunku, klient może wydać więcej, niż ma na koncie. Gdy np. na koniec dnia wszystkie dokonane przez niego wydatki zostaną zaksięgowane przez bank, może pojawić się debet. Sytuacja taka nie byłaby możliwa, gdyby wszystkie operacje wykonywane były w trybie online, w którym za każdym razem sprawdzana jest wysokość wolnych środków i blokowane są te już wydane.
Eliminować ryzyko
Na szczęście banki stosują zabezpieczenia, które zmniejszają powyższe ryzyko. Ustalają dla wydawanych przez siebie kart liczniki, wedle których
użytkownik co jakiś czas będzie proszony o autoryzację płatności kodem PIN. Nawet jeżeli wydaje niewielkie kwoty, którąś z kolejnych transakcji będzie musiał autoryzować kodem. To odstrasza potencjalnych złodziei od korzystania z kradzionych kart, bo nigdy nie wiadomo, czy przy najbliższej płatności nie będzie trzeba podać PIN-u. Trzeba jednak pamiętać o odstępstwach od tej zasady. – Każda transakcja online, czyli taka, przy której następuje sprawdzenie aktualnego salda na koncie – jak np. wypłata gotówki w bankomacie czy płatność powyżej 50 zł wymagająca autoryzacji PIN-em – może zresetować ten licznik. Jeżeli bank widzi, że na koncie powiązanym z kartą są środki, to pozwala na dalsze mikropłatności bez PIN-u – mówi Anna Znamirowska-Stączek, dyrektor biura kart w Banku Pocztowym. W efekcie mogą minąć całe tygodnie, a nawet miesiące, w trakcie których przy mniejszych transakcjach nie trzeba będzie podawać kodu. Ze względów bezpieczeństwa banki nie ujawniają szczegółów algorytmów, na podstawie których systemy wyliczają transakcję do potwierdzenia PIN-em.
W celu zwiększenia bezpieczeństwa transakcji stosowane są też systemy antyfraudowe. Używają ich banki, operatorzy
bankomatów oraz terminali płatniczych. Odpowiednie programy komputerowe analizują wydawane przez klienta kwoty oraz czas i miejsce dokonywania transakcji. Wszelkie anomalie są blokowane, a system nakazuje albo autoryzację PIN-em, albo wymusza potwierdzenie operacji w bezpośredniej rozmowie telefonicznej klienta z centrum autoryzacyjnym.
Godne zaufania
Dzięki tym zabezpieczeniom liczba oszustw podczas transakcji kartami w miarę upowszechniania się technologii zbliżeniowej nie rośnie. – Karty umożliwiające dokonywanie płatności bezstykowo wydajemy od kilku lat. Nie zanotowaliśmy w tym czasie zwiększonej liczby transakcji nieuprawnionych z wykorzystaniem skradzionych czy zagubionych kart – deklaruje Paweł Jaszewski z Raiffeisen Bank Polska. Podobnie jak Janusz Diemko, prezes First Data Polska, największego na naszym rynku operatora terminali płatniczych. – Liczby jednoznacznie potwierdzają, że karty zbliżeniowe są środkiem płatniczym godnym zaufania. Tylko między październikiem 2012 a marcem 2013 r. nasze systemy odnotowały prawie 14 mln transakcji zbliżeniowych, z czego współczynnik wszystkich nieuprawnionych zarejestrowanych przez systemy Polcard w tym okresie wyniósł niespełna 0,01 proc. – mówi Janusz Diemko.
Zwolennicy kart zbliżeniowych argumentują też, że właściciel tradycyjnej karty płatniczej na straty jest narażony w takim samym stopniu jak użytkownik karty z funkcją NFC. A to przez numer autoryzacyjny na rewersie, który umieszczany jest na wszystkich kartach, a służy do dokonywania transakcji w internecie. Gdy karta znajdzie się w rękach przestępcy, może on w trakcie jednej operacji wyczyścić konto do zera, płacąc w sieci. To większe ryzyko, niż możliwość utraty 50 zł w trakcie pojedynczej transakcji bezstykowej w sklepie stacjonarnym.
Na korzyść kart bezstykowych przemawia też to, że w niektórych okolicznościach tradycyjnymi plastikami również płaci się w trybie offline i bez podawania PIN-u. Jednym z przykładów takiej sytuacji może być przejazd przez bramki na autostradzie. Karty bezstykowe w porównaniu z tradycyjnymi mają też tę zaletę, że podczas transakcji ich użytkownicy cały czas mają je w rękach. Nie muszą więc podawać ich obcej osobie, jak to się dzieje podczas normalnej płatności stykowej. Korzystających z kart bezstykowych chronią dodatkowo przepisy o odpowiedzialności banków, podobnie jak użytkowników wszystkich innych plastików. Zgodnie z nimi odpowiedzialność posiadacza karty ograniczona jest do równowartości 150 euro. Jeżeli karta zostanie skradziona lub zagubiona i użyta przez złodzieja, klient straci maksymalnie ok. 600 zł. Resztę zwróci bank. Kwotę tę można zmniejszyć do zera dodatkowym dobrowolnym ubezpieczeniem, którego koszt wynosi kilka złotych miesięcznie.
Choć częstotliwość kradzieży przy wykorzystaniu kart zbliżeniowych nie jest większa niż w przypadku tych tradycyjnych, to warto pracować nad sposobem przeprowadzania transakcji offline. I prawdopodobnie tego będą dotyczyć rekomendacje, które grupa robocza przedstawi na najbliższym posiedzeniu rady ds. systemu płatniczego. Prawdopodobnie też banki zostaną zobowiązane do wprowadzenia możliwości rezygnacji klienta z funkcji zbliżeniowej. Obecnie większość z nich wydaje wyłącznie karty z funkcją bezstykową. Jeżeli klient nie jest przekonany, czy chce korzystać z tego dobrodziejstwa, praktycznie nie ma wyboru. Może ewentualnie całkowicie zrezygnować z używania plastiku. Wiele wskazuje na to, że banki będą zobowiązane do wyłączania w karcie funkcji bezstykowej na życzenie klienta.
Kart bez PIN jest coraz więcej, ale oszustw na nich wciąż tyle samo
Polska w czołówce transakcji bezstykowych
Biorąc pod uwagę liczbę kart zbliżeniowych, Polska jest w czołówce tabeli. Nasi rodacy mają w portfelach ponad 33 mln kart bankowych, ponad połowa z tego to karty z funkcją bezstykową. Obecnie większość banków wydaje już tylko i wyłącznie plastiki w najnowszej technologii. Możemy się również pochwalić najszerszą siecią akceptacji tego typu transakcji. Z danych Narodowego Banku Polskiego wynika, że w sklepach i punktach usługowych działa ponad 300 tys. terminali do przyjmowania płatności kartami. Z tego w co trzecim można już płacić bez konieczności wkładania karty do czytnika. Od przyszłego roku wszystkie nowo instalowane urządzenia będą miały moduł zbliżeniowy. Do końca 2016 r. terminale bez tego elementu zostaną wycofane z użytku.
Eksperci podkreślają, że to właśnie dzięki temu niezwykle dynamicznie rośnie liczba oraz wartość transakcji zbliżeniowych. O ile w pierwszej połowie 2011 r. Polacy wykonali niecałe 4 mln takich płatności, to w tym samym okresie roku ubiegłego było ich już prawie 30 mln. W pierwszej połowie tego roku mogło być ich kilka razy więcej. Wartość transakcji zbliżeniowych wzrosła z 72 mln zł w pierwszych sześciu miesiącach 2011 r. do ponad 650 mln zł w roku ubiegłym.