W czasie pandemii banki, organizacje płatnicze oraz operatorzy terminali postanowili ułatwić nam życie i podwyższyli limit płatności „bezdotykowych”. Kiedy w sklepie płacimy kartą zbliżeniową rachunek nie przekraczający kwoty 100 zł, nie musimy podawać kodu PIN do karty. Jednak – ze względów bezpieczeństwa – przy piątej takiej transakcji terminal jednak zażąda wpisania PIN-u. A czasem… nawet fizycznego umieszczenia karty w terminalu. I tu pojawia się problem: co robić, jeśli płacimy telefonem? Przecież nie umieścimy smartfona w terminalu. Właśnie taka sytuacja przydarzyła się panu Łukaszowi. Pech? Błędna informacja o karcie przekazana przez bank operatorowi terminali? A może gruby błąd systemu płatniczego?
W ubiegłym roku weszła w życie unijna dyrektywa dotycząca systemu płatniczego – PSD2. Jej celem było zwiększenie bezpieczeństwa korzystania z bankowości internetowej i mobilnej, ale też płatności kartami w tradycyjnych sklepach. Aby wejść do banku przez internet też czasem trzeba się nieźle spocić – nie wystarczy login i hasło. System powinien zażądać dodatkowej metody autoryzacji, np. specjalnego kodu przesłanego SMS-em (przynajmniej wtedy, gdy logujemy się pierwszy raz z nowego urządzenia). Więcej o zmianach związanych z dyrektywą PSD2 przeczytacie w tym artykule.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Jeśli chodzi o płatności w sklepach, dyrektywa zobowiązała dostawców infrastruktury płatniczej, a więc banki, organizacje płatnicze i agentów rozliczeniowych, do zwiększenia bezpieczeństwa transakcji zbliżeniowych. Zgodnie z dyrektywą PSD2, przy piątej z rzędu transakcji zbliżeniowej (a większość takich transakcji jest nie tylko bezdotykowa, ale i bez kodu PIN – limit wartości transakcji bez-PIN-owych wynosił do niedawna 50 zł) system powinien wymusić podanie przez klienta PIN-u do karty, niezależnie od wartości transakcji.
To dodatkowa niedogodność dla tych, którzy często robią małe zakupy i płacą za nie kartą zbliżeniowo (raz na jakiś czas jednak trzeba podać PIN), ale dzięki temu jest też bezpieczniej – utrata karty płatniczej nie powinna skutkować większymi stratami, bo złodziej lub nieuczciwy znalazca dość szybko będzie poproszony o PIN do przejętej karty. Jest też limit wartości transakcji – 150 euro – kiedy system też powinien wymusić podanie PIN-u, ale w Polsce przy obecnym kursie euro aktywny jest obecnie limit liczby transakcji.
Na tę nowość została niedawno „nałożona” druga innowacja. W czasie pandemii banki i organizacje płatnicze podwyższyły limit płatności zbliżeniowej, która nie wymaga podania kodu PIN, z 50 zł do 100 zł. W niektórych terminalach sklepowych może obowiązywać jeszcze stary limit, a więc 50 zł, ale większość terminali jest już przystosowana do nowych warunków.
Jak to powinno wyglądać w praktyce? Idę na długie zakupy z kartą zbliżeniową w portfelu. W jednym sklepie wydaję 30 zł, w drugim 80 zł, w trzecim 5 zł, a w czwartym 100 zł. Żadna z transakcji nie przekraczała wartości 100 zł, a więc nigdzie nie musiałem podawać kodu PIN. Idę do piątego sklepu, gdzie rachunek wynosi 50 zł. Choć to kwota poniżej bez-PIN-owego limitu, to w tym momencie będę musiał podać PIN.
Przeczytaj też: Z wakacji kredytowych prosto na kredytową kwarantannę? Dlaczego banki nie chcą pożyczać pieniędzy klientom, którzy skorzystali z odroczenia rat?
Przeczytaj też: W gabinetach prezesów banków trwają narady o tym, jak nam dokręcić śrubę. Jakie nowe opłaty nam grożą? Oto lista
Piąta transakcja zresetuje licznik i od tej pory znowu będę mógł zapłacić cztery razy z rzędu bez PIN-u, jeśli oczywiście kwota pojedynczej transakcji nie przekroczy 100 zł. Ale załóżmy, że w trzecim sklepie zapłaciłem nie 5 zł, a 120 zł. Wtedy system wymusi podanie kodu PIN, bo płaciłem powyżej 100 zł, i już przy tej transakcji licznik się zresetuje.
Przyznam, że odkąd weszły w życie nowe przepisy, nie spotkałem się jeszcze z taką sytuacją. Choć płacę wyłącznie zbliżeniowo, to widocznie któraś z czterech następujących po sobie transakcji zawsze przekraczała w moim przypadku 100 zł, a więc musiałem podać PIN i mój licznik wcześniej się zerował.
Znany dziennikarz, karta w smartfonie i problem
Do tej pory nie docierały do ekipy „Subiektywnie o finansach” żadne sygnały, które świadczyłyby o tym, że z opisanym powyżej schematem coś jest nie tak. Dlatego zaintrygował nas felieton znanego dziennikarza Łukasza Warzechy o jego perypetiach z płatnościami zbliżeniowymi, a konkretnie z płatnościami mobilnymi.
Dziś to coraz popularniejsza forma płatności. Tradycyjną plastikową kartę możemy dodać do aplikacji płatniczej, np. Apple Pay czy Google Pay. A dodaje się ją poprzez wpisanie danych karty w aplikacji. Karta tradycyjna oraz ta sama podpięta do aplikacji mobilnej (stokenizowana) przypisane są do tego samego rachunku bankowego, czyli mają to samo źródło pieniądza, ale mają inne numery. System powinien więc rozpoznać, czy płacę kartą fizyczna, czy tą umieszczoną w telefonie czy zegarku.
Tyle teoria, bo Łukasz Warzecha spotkał się z absurdalną sytuacją (cały wpis znajdziecie w tym miejscu). Napisał, że w sytuacji, kiedy system wymusza na płacącym podanie PIN-u…
„większość terminali w Polsce – poza tymi najnowszego typu – w takiej sytuacji wymaga włożenia karty do czytnika. Nie można jej nawet przyłożyć – również wówczas transakcja zostaje odrzucona. To zaś z kolei oznacza, że została nam odebrana wygodna możliwość pozostawienia portfela z kartami w domu i płacenia wyłącznie aplikacją w telefonie. Chyba że ktoś skrupulatnie odnotowuje wydatki i wie, kiedy nagle system zażąda od niego wsunięcia realnej karty do terminala”
I dalej:
„Wygląda to tak idiotycznie i absurdalnie, że trudno w to uwierzyć. A jednak – zbieg dwóch „ulepszeń”, czyli ulepszenia naszego bezpieczeństwa transakcyjnego i ulepszenia naszej wygody transakcyjnej sprawiły, że nie tylko jest niewygodnie, ale że wskutek tych bankowych innowacji możemy się ostać jak ten idiota z telefonem w ręku przy kasie, nie mając jak zapłacić za zakupy”
Pisząc w skrócie: człowiek płaci telefonem, przy piątej transakcji system nie tylko prosi o podanie kodu PIN, ale również o fizyczne umieszczenie karty w terminalu. Całe to gadanie o wygodzie płatności mobilnych można więc wrzucić do kosza. No bo przecież po to namawiani jesteśmy do płacenia telefonem czy zegarkiem, żeby nie musieć nosić przy sobie portfela wypchanego kartami i gotówką.
Czy to jakiś poważny, systemowy błąd? A może tylko przypadek, który spotkał akurat Łukasza Warzechę? Więcej światła na tę sprawę rzucają wyjaśnienia banku, który wydał kartę.
„Dzwoniłem tam dwukrotnie, żeby dokładnie zrozumieć, o co chodzi i żeby oni zrozumieli, co się stało. Było dwoje różnych konsultantów. Za pierwszym razem bardzo długo czekałem, trwało jakieś sprawdzanie, po czym usłyszałem właśnie to, co napisałem. Ale nie byłem pewien, czy jednak nie zrozumiałem źle, bo tak mnie to zdziwiło, więc zadzwoniłem drugi raz i już bez sprawdzania, a wyłącznie na podstawie opisu sytuacji inny konsultant powiedział to samo, dodając, że jedynie niektóre terminale są w stanie w takiej sytuacji zażądać PIN. Większość zażąda włożenia fizycznej karty”
– opisuje publicysta. Bankowy konsultant przyznał, że konieczność fizycznego umieszczenia karty w terminalu jest niewygodne, ale „tak to działa”.
Przeczytaj też: Bank nie chce obniżyć oprocentowania kredytu, mimo że WIBOR spadł? UOKiK: to naruszenie dobrych obyczajów. Bank podobno szuka rozwiązania
Awaria terminala, czy grubszy błąd?
Jeśli „tak to działa”, to mamy do czynienia z ogromną dziurą w systemie płatności zbliżeniowych. Ale problem może być „lokalny”, a więc leżeć po stronie banku klienta. Winny może też być terminal płatniczy, ale Łukasz Warzecha podkreśla, że ten problem nie wystąpił tylko w jednym urządzeniu:
„Za pierwszym razem, zanim wyszukałem swoją kartę w portfelu, swoją zapłaciła moja żona (inny bank, inna karta). Za drugim razem, kilkadziesiąt minut później, byłem sam zupełnie gdzie indziej i problem się powtórzył. I tam już musiałem sięgnąć po kartę do portfela, a ta, nie zadziałała zbliżeniowo”
Co tu się dzieje? Opowiedziałem tę historię specjalistom od płatności. Ich zdaniem, faktycznie wygląda to dość dziwnie. Podrzucili mi jednak pewne tropy. Każda karta ma zaszyty w sobie parametr mówiący o tym, czy jest kartą fizyczną czy mobilną. Kiedy płacimy kartą poniżej limitu 100 zł, terminal płatniczy przesyła do banku informację o karcie i kwocie transakcji.
Następnie bank wysyła informację zwrotną: albo daje zielone światło do przeprocesowania transakcji bez PIN albo prosi o wykonanie dodatkowych czynności. Komunikaty zwrotne będą się różnić w zależności od tego, kartą z jakim logo płacimy – Mastercard czy Visa.
Przeczytaj też: Pierwsze banki już namawiają klientów: „zmieńcie umowę na kredyt o stałym oprocentowaniu”. To świetny interes czy finansowa pułapka?
Płatności kartami od kuchni
W przypadku Mastercarda, bank może wysłać komunikat z żądaniem wpisania kodu PIN (komunikat brzmi „SCA required”) lub z żądaniem umieszczenia karty w terminalu, czyli dokonania transakcji stykowej (komunikat „SCA non required). Dlatego bank powinien wiedzieć, z jakim typem karty ma do czynienia: z fizyczną czy mobilną. Jeżeli jest to karta bez procesora – a więc każda umieszczona w smartfonie – system z automatu nie powinien prosić o umieszczenie jej w terminalu, bo to przecież bez sensu.
Jak jest w przypadku kart z logo Visa? Bank informuje o konieczności pełnego uwierzytelnienia transakcji, wówczas terminal dla danej karty obniża limit transakcji bez PIN do 0 zł i prosi o ponowne zbliżenie karty, a następnie wpisanie kodu PIN. Drugi wariant jest taki, że bank może przesłać prośbę o przeprowadzenie transakcji stykowej.
Pierwszym wyjaśnieniem problemu może być więc to, że bank pana Łukasza wysyła błędne komunikaty – kartę zaszytą w telefonie traktuje jak plastikową i żąda absurdalnej transakcji stykowej. Ten błąd mógłby wystąpić przy płatnościach kartami z logo Mastercard i Visa.
Przeczytaj też: Klient kontra Panek. Czy wypożyczalnia mogła anulować transakcję kartą i dokonać jej raz jeszcze bez wiedzy klienta?
Moi rozmówcy podpowiadają, że wina może leżeć jeszcze po stronie terminala, który działa na niezaktualizowanym oprogramowaniu. Ale w takiej sytuacji problem dotyczyłyby tylko transakcji kartami z logo Mastercard. Dlaczego? Taki terminal może nie czytać opisanego wcześniej parametru „SCA required”, traktuje więc odpowiedź jako wezwanie do transakcji stykowej. Tyle że – jak już wcześniej wspomniałem – Łukasz Warzecha spotkał się z tym samym problemem na dwóch różnych urządzeniach. Prawdopodobieństwo, że akurat te dwa terminale miały stare oprogramowanie, jest znikome.
Jakie jest zatem rozwiązanie zagadki? Liczymy na pomoc czytelników „Subiektywnie o finansach” – jeśli spotkaliście się z podobną sytuacją, piszcie w komentarzach lub e-mailem na adres: maciej.bednarek@subiektywnieofinansach.pl
____________________________________
POSŁUCHAJ NAJNOWSZEGO ODCINKA PODCASTU „FINANSOWE SENSACJE TYGODNIA”
W 17. odcinku podcastu „Finansowe sensacje tygodnia” Maciej Samcik, Maciej Bednarek i Irek Sudak – czyli ekipa „Subiektywnie o finansach” w galowym składzie rozmawia o tym, dlaczego Polacy nie pokochali rządowej, antycovidowej aplikacji ProteGO Safe, dlaczego przy płaceniu smartfonem terminal płatniczy czasem wymaga włożenia karty do szczeliny, o tym czy warto skorzystać z dołka cenowego na rynku maseczek i innych środków ochrony osobistej oraz o dziwnych wymaganiach przy zwrocie gotówki za nie wykorzystaną wycieczkę. I jeszcze szybka rada dla posłów jak zrobić, żeby Naród nie miał do nich żalu, gdy następnym razem przegłosują dla siebie podwyżki. Zapraszamy do odsłuchania!
Rozpiska zawartości podcastu:
01:00 – Dlaczego akurat od średniej krajowej? A gdyby tak pensje polityków uzależnić od znacznie bardziej odpowiedniego parametru?
04:59 – Płacisz zbliżeniowo smartfonem, a terminal prosi, żebyś umieścił kartę w terminalu. Drobny błąd czy poważna dziura w systemie płatniczym?
15:59 – Rządowa aplikacja ProteGO Safe ma już pół miliona użytkowników. Dużo, mało? I czy powinniśmy się jej bać tylko dlatego, że nas śledzi?
30:24 – Dołek cenowy na rynku maseczek ochronnych. Dobry moment, by się zaopatrzyć przed jesienią „po taniości”?
35:36 – Jak odzyskać gotówkę za niezrealizowaną wycieczkę? Czy z pomocą przyjdzie druga „tarcza turystyczna”?
Aby posłuchać podcastu trzeba kliknąć poniższy baner, albo wejść w niniejszy link
Źródło zdjęcia: Pixabay
