„Czy to bezpieczne, że niektóre transakcje kartą przebiegają zawsze bez podania PIN-u? Dlaczego nie mogę wyłączyć takiej możliwości?” – zapytał mnie czytelnik, który nie może się nadziwić, że w samoobsługowym punkcie do płacenia za parking – niezależnie od kwoty – wystarczy włożyć kartę do maszyny, by obciążyć konto. „Tak działa system” – rozkładają ręce w banku
Marzeniem mojego czytelnika jest, by każda transakcja kartą powyżej 50 zł była potwierdzana PIN-em. Jego zdaniem tak jest bezpieczniej, a bezpieczeństwo to rzecz, której mój czytelnik wymaga od banku najbardziej.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ja mam inaczej – za jedną z największych zdobyczy XXI wieku uważam to, że mogę płacić kartą zbliżeniowo i bez PIN-u. I nie mogę się już doczekać podwyższenia limitu transakcji bez PIN z 50 zł do 100 zł. W zupełności wystarczy mi, że ze względu na tę właściwość karty moja odpowiedzialność w przypadku fraudu jest ograniczona do równowartości 50 euro.
„Żeby autoryzować transakcję wystarczy tylko włożyć kartę. To niebezpieczne!”
Mój czytelnik – być może mniej, niż ja, dbający o wygodę zakupów, a bardziej o bezpieczeństwo pieniędzy na karcie – zauważył jednak, że są miejsca, w których – niezależnie od wartości transakcji – PIN-u się nie podaje. Konkretnie chodziło mu o samoobsługowy automat płatniczy na parkingu. I bardzo mu się to nie spodobało.
Klient złożył więc reklamację w swoim banku. „Dlaczego karta jest źle zabezpieczona?” – zapytał. A z odpowiedzi banku dowiedział się, że sprawa ma charakter systemowy.
A mianowicie: że ustawienia terminala płatniczego są regulowane umowami między usługodawcą (w tym przypadku operatorem parkingu), firmą rozliczającą transakcje oraz organizacją płatniczą. I że bank w tej sprawie nie może nic zrobić.
Bank wyjaśnia, że organizacje płatnicze w niektórych sytuacjach dopuszczają autoryzację transakcji bez potwierdzenia np. na autostradach, parkingach i wszędzie tam, gdzie szybkość płatności ma kluczowe znaczenie nie tylko z punktu widzenia klienta, ale również i usługodawcy oraz innych klientów.
Ustawienia terminala to w ogóle grubsza sprawa. Jakiś czas temu opisywałem na „Subiektywnie o finansach” zdziwienie jednego z czytelników, który płacił grubszy rachunek w restauracji i… też nie musiał podawać PIN-u, bo – jak wytłumaczył mu kelner – „terminal tak jest ustawiony”. Tamten klient też poczuł się nieswojo.
Czytelnik ma stresik. Czy uzasadniony? I co na to PSD2?
Tym razem mój czytelnik nie zadowolił się wyjaśnieniem działu reklamacji banku, lecz sprawdził jak sprawę braku autoryzacji PIN-em opisuje regulamin używania kart w jego banku. I przeczytał punkt 25.:
„W przypadku urządzenia akceptującego karty wyłącznie poprzez umieszczenie karty w urządzeniu, autoryzacja transakcji następuje wyłącznie poprzez fizyczne umieszczenie karty w urządzeniu”
A więc regulamin dopuszcza „autoryzację bez autoryzacji” lub – innymi słowy – potwierdzenie transakcji bez sprawdzenia czy klient zna PIN, a więc czy jest tym, za kogo się podaje. Wystarczy, że ma przy sobie kartę.
Taki sposób autoryzacji transakcji średnio zgadza się z tą częścią dyrektywy PSD2, która mówi o tzw. dwuskładnikowej autoryzacji. Ale czy marzenie mojego czytelnika o tym, by nikt nigdy już nie dopuścił do większej transakcji bez podania PIN-u może się ziścić? Operatorzy płatności będą musieli wprowadzić przynajmniej wyrywkowe sprawdzanie czy posiadacz karty jest tym, za kogo się podaje (np. co piąta transakcja zbliżeniowa poniżej 50 zł będzie się wiązała z koniecznością podania PIN).
Ale chyba nie będzie to dotyczyło automatow parkingowych. Tak przynajmniej rozumiem listę wyjątków w tym dokumencie organizacji płatniczej Visa, który opowiada o silnym uwierzytelnieniu (SCA). Tabelka na str. 8:
Ten system „bezpinowy” mojego czytelnika stresuje. Bo – gdyby on zgubił kartę (a przecież mógłby być wyjątkowo roztrzepany) i ktoś użyłby jej np. żeby zapłacić za parkowanie całej floty swoich aut – on nie mógłby mówić, że żąda zwrotu pieniędzy, bo transakcja nie została właściwie autoryzowana. Bank natomiast mógłby powiedzieć: „sorry, trzeba było pilnować karty, jest punkt regulaminu, który o tym mówi”.
Czytaj więcej: Masz kartę zbliżeniową i ktoś ci ją ukradł? Odpowiadasz tylko do równowartości 50 euro. Chyba, że bank…
Oczywiście: przy automatycznych punktach płatności zwykle jest monitoring, a usługodawcy nie wymagający podania PIN-u do karty biorą też większą odpowiedzialność za ewentualne złodziejskie transakcje. Trudno też zakładać, żeby ktoś chciał wykorzystać cudzą kartę do płatności na rzecz operatora parkingu.
Ale po części rozumiem stresik czytelnika. Na „usprawiedliwienie” systemu mam tylko to, że właścicielem każdej karty płatniczej jest bank-wydawca. Klient jest jedynie jej użytkownikiem, choć przecież to jego pieniądze są na tej karcie. Stąd trudno dziś jeszcze zakwestionować to „ograniczenie wolności kartowej”, które zakwestionował czytelnik.
Wygoda kontra bezpieczeństwo. A może powinniśmy móc wybrać samodzielnie?
Po erze wygody, w której żądaliśmy od usługodawców wyłącznie tego, żeby wszystko było „na jeden klik” a najlepiej, żeby wręcz działo się samo, nadchodzi era myślenia również o bezpieczeństwie. Część z nas będzie domagała się porządnych zabezpieczeń systemów i procedur przed złodziejami i oszustami, nawet kosztem wygody.
Dobrze byłoby, gdyby firmy, które dostarczają nam usługi – w tym firmy finansowe, np. banki – się na to przygotowały. To przegotowanie powinno polegać na tym, że klienci pragnący większego bezpieczeństwa mogą tak skonfigurować sobie dostęp do usługi, by był mniej wygodny, a za to bardziej potencjalnie niedostępny dla złych ludzi.
Przykładem dobrych praktyk jest pewna właściwość karty Revolut, którą można w każdej chwili – poprzez aplikację „włączyć”, „wyłączyć”, pozwolić jej działać np. tylko w bankomatach, albo tylko w internecie, albo tylko w transakcjach bezgotówkowych w fizycznym sklepie. Można ją też tak ustawić, by działała tylko w miejscu, w którym znajduje się klient (czytaj: jego aplikacja).
I o to chodzi: posiadacz usługi sam może decydować o jej poziomie bezpieczeństwa w konfrontacji z wygodą.
zdjęcie: Jarmoluk/Pixabay
