Wartość i liczba kradzieży z wykorzystaniem kart płatniczych na polskim rynku należą do najniższych w Europie. Problem w tym, że sytuacja zaczęła się pogarszać
Z danych Narodowego Banku Polskiego wynika, że polscy użytkownicy kart niezwykle rzadko padają ofiarą przestępstw przy użyciu tych instrumentów. Z najnowszych statystyk NBP wynika, że od stycznia do czerwca ubiegłego roku banki zanotowały 27,7 tys. operacji kartami uznanych za oszukańcze. Statystyki mówią, że pod względem liczby najwięcej oszukańczych jest transakcji internetowych. Ich udział w ogólnej sumie kradzieży wynosi 43 proc. Dalej są transakcje dokonywane kartami sfałszowanymi – stanowią 28,9 proc., oraz skradzionymi – 19 proc. Za pomocą kart zgubionych dokonano ponad 1,8 tys. kradzieży.
Choć może się wydawać, że przestępstw przy użyciu kart jest sporo, to ich wartość jest niewielka. W I poł. 2013 r. wyniosła 12,6 mln zł. Pod względem wartości największy udział odnotowano w transakcjach kartami sfałszowanymi. Stanowiły one 44,2 proc. całości operacji oszukańczych. Niewiele mniej, bo 43,3 proc. wartości wszystkich oszustw, stanowiły te dokonane w sieci.
Jeżeli odniesiemy zarówno wartość, jak i liczbę transakcji oszukańczych kartami do ogólnej wartości i liczby transakcji plastikami, to okazuje się, że stanowią one niewielką ich część. W przypadku liczby stanowią 0,004 proc. wszystkich operacji plastikami, a w przypadku wartości – 0,02 proc.
Polska wśród liderów
Dane te wyglądają bardzo dobrze na tle innych krajów. Z opublikowanych przez Europejski Bank Centralny danych na temat fraudów kartowych we wszystkich krajach Unii Europejskiej wynika, że nasz rynek należy do najbezpieczniejszych. Pod względem udziału wartości transakcji oszukańczych kartami we wszystkich transakcjach plastikowym pieniądzem bezpieczniejsza od Polski jest jedynie Rumunia (większość krajów Europy Środkowej wypada w statystykach bardzo dobrze; to efekt tego, że systemy bankowe budowały dużo później niż kraje zachodnie, mogły więc zainwestować w najnowocześniejszą infrastrukturę oraz oprogramowanie). Natomiast pod względem liczby fraudów w stosunku do wszystkich operacji kartami nie mamy sobie równych w Unii Europejskiej, bo charakterystyczny dla naszego kraju wskaźnik jest najniższy w całej UE.
Specjaliści nie mają wątpliwości, że za wysoką pozycją Polski w zestawieniach dotyczących bezpieczeństwa stoi szybkie przestawienie się polskich banków na nowy, bezpieczniejszy standard kart – z mikroprocesorem. W niektórych krajach dominują wciąż karty jedynie z paskiem magnetycznym. Zawarte na nim dane bardzo łatwo skopiować i wyprodukować fałszywą kartę, którą można posługiwać się tak jak oryginalną. U nas niemal wszystkie karty debetowe i kredytowe wydawane przez banki mają już mikroprocesor, z którego informacji nie da się tak łatwo ukraść.
Udział plastików bez chipa w ogólnej liczbie kart aktywnych sukcesywnie spada. Obecnie stanowią one jedynie 10 proc. wszystkich kart obecnych na rynku. Należy się spodziewać, że do końca 2014 r. zostaną wyeliminowane całkowicie, gdyż kwartalnie ich udział w rynku zmniejsza się o 2–3 pkt proc. Ponadto szybko modernizowana jest infrastruktura systemu płatniczego, a więc terminale POS oraz bankomaty. Większość z nich dostosowana jest dziś do obsługi kart z mikroprocesorem, co oznacza, że dane z paska skanowane są tylko w odniesieniu do tych kart, które nie posiadają chipa.
Zdaniem ekspertów na niski poziom transakcji oszukańczych kartami w naszym kraju wpływ mają również programy antyfraudowe, w jakie zainwestowali agenci rozliczeniowi oraz banki. Programy te analizują transakcje i blokują możliwość przeprowadzenia podejrzanych operacji. Przykład? W krótkim odstępie czasu tą samą kartą są przeprowadzane transakcje w dwóch miastach oddalonych od siebie o kilkaset kilometrów. – Ponadto w Polsce od zawsze wydawano przede wszystkim karty debetowe, dzięki czemu większość transakcji jest autoryzowana w miejscu sprzedaży – uważa Małgorzata O’Shaughnessy, wiceprezes Visa Europe. Obecnie na 34,7 mln kart w portfelach Polaków jedynie 6,1 mln sztuk to kredytówki.
Zbliżeniówki zaszkodziły
Chociaż polskie karty są bezpieczne, to na tym nieskazitelnym do niedawna obrazie pojawiają się pierwsze rysy. W I poł. 2013 r. liczba transakcji oszukańczych kartami wzrosła o 11,5 proc. w stosunku do II poł. 2012 r. i osiągnęła poziom najwyższy od roku 2005. Najbardziej spektakularny wzrost fraudów odnotowano w kategorii transakcji kartami zgubionymi. O ile w II poł. 2012 r. było ich ok. 900, to w I poł. 2013 r. już ponad 1,8 tys. Wzrost oszustw przyczynia się do spadku Polski w międzynarodowych rankingach bezpieczeństwa. Nie ma wątpliwości, że na tak znaczący przyrost liczby kradzieży z wykorzystaniem kart zgubionych wpływ ma upowszechnienie się technologii zbliżeniowej. Obecnie już ponad 20 mln kart w portfelach Polaków umożliwia dokonywanie płatności bez wkładania plastiku do terminalu w sklepie i bez autoryzowania kodem PIN niewielkich transakcji, do 50 zł. Powoduje to, że zgubiona karta może łatwo stać się narzędziem, za pomocą którego nieuczciwy znalazca może wyprowadzić z rachunku drobne kwoty. Za prawdziwością tak postawionej tezy może przemawiać fakt, że mimo wzrostu liczby transakcji oszukańczych nie rośnie ich wartość, wręcz przeciwnie – spada. W I poł. 2013 r. była ona o 5 pkt proc. niższa niż w II poł. 2012 r. Wzrosty zanotowano jednak w kategorii transakcji internetowych – o ponad 8 pkt proc., oraz przede wszystkim w kategorii kart zgubionych – aż o ponad 83 proc.
Zarówno statystyki, jak i medialne doniesienia na temat kradzieży pieniędzy za pomocą kart zbliżeniowych stały się przyczyną powołania specjalnego zespołu roboczego przy Narodowym Banku Polskim. Jego zadaniem było wypracowanie standardów wydawania oraz zarządzania portfelem kart bezstykowych w bankach. Efektem działań zespołu były rekomendacje Rady ds. Systemu Płatniczego, ogłoszone jesienią 2013 r. Zalecono bankom, by umożliwiły klientom swobodne włączanie i wyłączanie funkcji zbliżeniowej w kartach. Jeżeli z powodów technicznych bank nie będzie w stanie zapewnić takich możliwości, powinien wciąż wydawać karty tradycyjne, bez funkcji bezstykowej, by klient miał wybór, z którego plastiku chce korzystać. Ponadto RSP zaleciła bankom, by w przypadku transakcji nieautoryzowanych PIN-em zmniejszyć z równowartości 150 do 50 euro udział własny klienta w kosztach transakcji oszukańczych. Rada zagroziła również, że jeżeli banki nie dostosują się do tych zaleceń, rozważane będzie podjęcie działań, by proponowane zasady wprowadzić za pomocą odpowiednich zmian w prawie. Banki miały czas na wdrożenie zaleceń do końca minionego miesiąca. Większość deklaruje, że podporządkowała się nowym wymogom. Prawdopodobnie jeszcze przed wakacjami RSP dokona oceny, czy i w jakim stopniu jej zalecenia zostały wdrożone w życie.
Kwestią bezpieczeństwa kart zbliżeniowych zajęła się również Komisja Nadzoru Finansowego. Ta dostrzegła zagrożenie wynikające z transakcji przeprowadzanych w trybie offline, wykorzystywanym czasem podczas płatności zbliżeniówkami. To sytuacje, kiedy terminal nie łączy się z centrum autoryzacyjnym banku w celu sprawdzenia, czy na koncie użytkownika karty są pieniądze. Dzięki temu transakcja przeprowadzana jest błyskawicznie, a właściciel sklepu oszczędza na opłatach telekomunikacyjnych, bo terminal nie dzwoni do banku. Wiąże się z tym jednak niebezpieczeństwo wpadnięcia przez użytkownika karty w niedozwolony debet. Przy niskim stanie konta i częstych transakcjach offline właściciel karty może wydać więcej niż ma, a okaże się to dopiero po kilku dniach, gdy wszystkie transakcje offline zostaną rozliczone. Jeszcze większy problem pojawić się może w sytuacji, jeżeli karta takiego użytkownika trafi w niepowołane ręce. Może powstać zadłużenie, a odpowiedzialność za jego powstanie zostanie rozmyta między właścicielem karty a bankiem wydawcą.
KNF nie żąda jednak wprost zablokowania autoryzacji offline. – W naszej ocenie możliwość przekroczenia salda rachunku powinna być indywidualnie uzgadniana z klientem i takim uzgodnieniom należałoby poddać także wysokość ewentualnego przekroczenia – mówi Maciej Krzysztoszek z biura prasowego KNF. Związek Banków Polskich odpowiedział już na pismo przewodniczącego komisji. Bankowcy nie zgadzają się ze stanowiskiem komisji i uważają, że to na kliencie spoczywa obowiązek zachowania ostrożności, by w debet nie wpaść.
Obecnie nie ma standardu, jeżeli chodzi o stosowanie trybu offline. Kilka banków, jak np. Alior czy Pekao, większość płatności rozlicza online, a tryb offline dopuszcza tylko w wyjątkowych sytuacjach. – Tryb offline jest możliwy tylko, gdy z przyczyn technicznych nie jest możliwe rozliczenie transakcji online, a dana karta ma zdefiniowane i dostępne limity offline. Ale limity te są bardzo małe, w związku z tym offline stanowi u nas margines transakcji zbliżeniowych – podkreśla Tomasz Bogusławski z biura prasowego Pekao. Część banków, jak Millennium, w ogóle zrezygnowała z autoryzacji offline. Ale to się zmieni. – W niedalekiej przyszłości zamierzamy wdrożyć modyfikacje systemu, dzięki którym to od decyzji klienta będzie zależało, w jakim trybie i do jakich kwot będą obsługiwane jego transakcje. Zamierzamy umożliwić klientom definiowanie swoich własnych, indywidualnych limitów transakcji zbliżeniowych, w tym również liczby i kwot transakcji realizowanych w trybie offline – zapewnia Wojciech Małaszewicz kierujący wydziałem kart płatniczych w Banku Millennium.
Sposoby na bezpieczeństwo
Banki oraz organizacje płatnicze podejmują również działania mające na celu zwiększenie bezpieczeństwa transakcji w internecie. Wprawdzie tylko 40 proc. płacących w sieci wykorzystuje do tego celu karty bankowe, ale ich udział rośnie. Skutkuje to również wzrostem liczby fraudów internetowych, czego dowodzą przytoczone wyżej statystyki. Jednym ze sposobów, który ma przeciwdziałać oszustwom w sieci, jest wdrażany przez Visę i ING Bank Śląski portfel wirtualny V.me. Dzięki niemu użytkownik karty będzie podawać dane karty tylko raz, wprowadzając je do systemu V.me. Dane będą przechowywane w systemie i nie będą udostępniane sprzedawcom, dzięki czemu zmniejszy się ryzyko ich wycieku z systemów handlowych. Wirtualny portfel Visy ma ruszyć jeszcze w I poł. 2014 r.
Ograniczeniu fraudów w sieci służyć ma również dynamiczny kod CVV, służący do autoryzacji transakcji na odległość. Jego wdrożenie jeszcze w tym roku zapowiedział producent kart – Oberthur Technologies. Kod CVV to trzy ostatnie cyfry numeru znajdującego się na odwrocie karty bankowej. Podaje się go podczas zakupów internetowych. Jeżeli znajdzie się on w rękach oszustów, pieniądze właściciela karty będą zagrożone. Zgodnie z założeniami dynamiczny CVV będzie prezentowany na niewielkim wyświetlaczu z tyłu karty i będzie zmieniał się np. co godzinę. W rezultacie niemal każda transakcja będzie autoryzowana innym kodem.
Bankowcy nie są jednak przekonani, czy rozwiązanie to zdoła się upowszechnić. Obecnie popularność zdobywa bowiem system 3D Secure. Zgodnie z nim niemal każda transakcja kartą w internecie wymaga autoryzacji hasłem jednorazowym, wysyłanym za pośrednictwem krótkiej wiadomości tekstowej. Wiele banków stosuje dziś ten sposób potwierdzania płatności, m.in. ING Bank Śląski czy Citi Handlowy.
ROZMOWA
Wysoka rentowność biznesu sprzyjała inwestycjom
Polski rynek kart należy do najbezpieczniejszych w Europie. Dlaczego?
Przez ostatnie lata banki zainwestowały istotne zasoby w to, aby systemy kart oraz bankowości internetowej były bezpieczne. Dotyczy to także systemów antyfraudowych, które zapobiegają oszustwom przy użyciu kart płatniczych. Warto dodać, że infrastruktura bankowa w Polsce powstawała dużo później niż w krajach starej Unii Europejskiej. Polskie banki mogły więc zainwestować w najnowocześniejsze rozwiązania w tym zakresie. Inwestycjom tym sprzyjała wysoka rentowność biznesu wydawnictwa kart, która niestety w wyniku zmian stawek interchange zostanie obniżona.
Czy upowszechnienie się kart zbliżeniowych może wpłynąć na pogorszenie tych statystyk?
W dłuższej perspektywie wręcz przeciwnie. Dynamiczny rozwój kart zbliżeniowych przyspieszy migrację banków na standard EMV, czyli na karty wyposażone w mikroprocesor, które są o wiele bezpieczniejsze niż karty posiadające jedynie pasek magnetyczny.
Czy zatem zalecenia Rady ds. Systemu Płatniczego i Komisji Nadzoru Finansowego co do zmian zasad wydawnictwa kart bezstykowych mają uzasadnienie?
Działania podejmowane przez nadzorców w moim odczuciu mają więcej wspólnego z chęcią uspokojenia konsumentów i mediów niż z faktyczną obawą o bezpieczeństwo. Z naszych informacji wynika, że te banki, które wdrożyły już możliwość wyłączania funkcji zbliżeniowej w kartach, nie notują spadku liczby kart zbliżeniowych czy wzrostu liczby klientów, którzy nie chcą korzystać z tej funkcjonalności.
