Wielu moich czytelników to już naprawdę „bystre sztuki”. Nie dość, że staracie się rozsądnie używać swoich kart płatniczych, to jeszcze chodzi Wam po głowie „wyłączanie” niepotrzebnych funkcjonalności. I słusznie – jeśli używacie karty tylko w określonych okolicznościach, to po co wystawiać się na ryzyko, że niepowołana osoba zrobi z karty użytek? Kłopot w tym, że… system nie nadąża
Kłopot z bankami polega na tym, że „włączanie” i „wyłączanie” poszczególnych funkcji często jest niemożliwe lub ograniczone. Owszem, można manewrować limitami dziennymi i miesięcznymi, ale odcięcie karty od określonego typu transakcji często uchodzi za mission impossible. O tym, że tak być nie musi, przekonuje choćby Revolut, który ma chyba najbardziej elastyczne – w sensie zarządzania funkcjonalnościami przez każdego klienta z osobna – karty jakie widziałem.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
„Już dłuższy czas temu głowię się nad rozmaitymi aspektami bezpieczeństwa poszczególnych rodzajów płatności. Swego czasu ustanowiłem sobie blokadę transakcji MOTO/EC, wychodząc z założenia, że realizuję takowe stosunkowo rzadko, a ten typ transakcji wydaje się być narażony na względnie wysokie zagrożenie (np. przy płatnościach za hotele)”
– opowiada jeden z moich czytelników. MOTO/EC to transakcje telefoniczne, w których klient nie prezentuje sprzedawcy karty w realu, ale podaje jej dane przez telefon, zaś operator na podstawie połączenia z bankiem weryfikuje ich prawidłowość i obciąża saldo wskazaną kwotą.
Czy da się skutecznie zablokować transakcje MOTO/EC?
Czy to wyjątkowo ryzykowna funkcjonalność? Owszem, można sobie wyobrazić, że ktoś użyje w ten sposób mojej karty, bo wcześniej ukradł jej dane, ale przy zwykłych transakcjach internetowych też w sumie nie jest to wykluczone.
Ale skoro czytelnik nie płaci za nic przez telefon i ta funkcja jest mu niepotrzebna, to jej „unieszkodliwienie” na pewno nie zaszkodzi. Bank na ustanowienie blokady transakcji typu MOTO/EC się zgodził i klient żył w przekonaniu, że jego karta nigdy nie zadziała „na telefon”. Ale był w błędzie.
„Ostatnio opłacałem ubezpieczenie OC samochodowego w firmie Proama, podając dane karty telefonicznie. Moim zdaniem to jest typowa MOTO/EC. Chwilę później zorientowałem się, że przecież moja karta nie powinna w ogóle zadziałać przy takiej płatności. Ku memu osłupieniu, płatność powiodła się. Co więcej, mój mBank oświadczył, iż wybór formatu zapytania autoryzacyjnego zależy wyłącznie od danego sprzedawcy”
– mówi mój czytelnik. I zadaje mi trudne pytanie: czy rzeczywiście to posiadacz terminalu może go sobie skonfigurować w dowolny sposób, by np. transakcje telefoniczne były rejestrowane jako internetowe? I czy de facto nigdy nie mamy pewności czy nasza płatność kartą zostanie potraktowana jako zdalna czy jako internetowa?
Czytaj też: Preautoryzacja czyli pułapka? Gdy hotel lub wypożyczalnia zablokują za dużą kwotę i… nie chcą jej „uwolnić”
Czytaj też: Zamówił kierowcę Ubera. Ten nie przyjechał. Ale za to karta klienta… „odjechała”
Bank przyjął zlecenie, bo wszystko się zgadzało. Ale czy rzeczywiście się zgadzało?
Bank potwierdził, że otrzymał zapytanie autoryzacyjne w formacie transakcji internetowej. I że z punktu widzenia banku transakcja przebiegła prawidłowa, a więc dane karty podane w zleceniu autoryzacyjnym były tożsame z tymi znajdującymi się w systemach banku.
„Bank jest podmiotem przyjmującym i realizującym zlecenia płatnicze. Przed udzieleniem zgody na autoryzację transakcji weryfikujemy dostępne limity autoryzacyjne dla transakcji danego typu. W tym przypadku były one na odpowiednim poziomie”
– oświadczyli bankowcy. Dziwne? Niedawno opisywałem na „Subiektywnie o finansach” zdziwienie klienta, który zapłacł w restauracji 150 zł i terminal w ogóle nie zażądał od niego PIN-u. Wtedy też okazało się, że był to element swobody działania restauratora, który tak po prostu ustawił sobie terminal.
W banku nie zobaczyli problemu. Ich zdaniem obniżenie standardów dotyczących bezpieczeństwa transakcji powoduje tylko to, że w razie reklamacji to ów restaurator odpowiadałby za ewentualne szkody (bo nie byłby w stanie udowodnić, że karty użył prawowity użytkownik). No, chyba, że restauracja jest monitorowana i w nagraniu dałoby się uchwycić moment transakcji.
Czytaj też: Zapłacił kaetą 150 zł za obiad, a terminal… nie zażądał PIN-u. Jak to możliwe? I czy to jest bezpieczne?
System wie wszystko lepiej?
W omawianym dziś przypadku sprawa jest grubsza, bowiem nie chodzi o kwotę zakupu, którą można przeprowadzić bez PIN-u, lecz o umożliwienie zakupu, który – zdaniem klienta – w ogóle nie powinien być dostępny (bo karta w ogóle nie powinna zadziałać „na telefon”).
Klient poczuł się mniej bezpiecznie. I tego jego subiektywnego odczucia nie należy lekceważyć. Banki nie powinny oferować klientom funkcji, których działania nie są w stanie później wyegzekwować. A jak sytuacja wygląda od strony „systemowej”?
Celem systemu jest spowodowanie, by klient miał jak najszersze możliwości używania karty. I widać w tym przypadku „system wie lepiej” czego klient potrzebuje. A gdyby to była transakcja fraudowa? Według bankowców, z którymi na ten temat rozmawiałem, odpowiedzialność za nią musiałby wziąć punkt handlowy, który – dla wygody własnej i klientów – tak skonfigurował terminale.
Ale z punktu widzenia klienta to marne pocieszenie. Bo przy „polskim” tempie załatwiania reklamacji jest pewne jak w banku, że straci mnóstwo czasu i nerwów zanim rzecz zostanie odkręcona. No i właśnie po to zablokował (a właściwie myślał, że zablokował) sobie możliwość dokonywania transakcji określonego typu, by mieć pewność, że czasu i nerwów nie straci.
źródło zdjęcia tytułowego: Cermati.com
