Używanie kart płatniczych do płacenia – zarówno w sklepach „stacjonarnych”, jak i w internetowych – jest bardzo wygodne. Zwłaszcza odkąd wymyślono technologię zbliżeniową, pozwalającą płacić w ogóle bez PIN-u (przy transakcjach do 50 zł). I odkąd kartą w sieci można płacić bez podawania jej danych (wystarczy zarejestrować kartę w jednej z internetowych usług oferowanych przez organizacje płatnicze, np. Visa Checkout, i płacić w e-sklepach podając wyłącznie hasło). Wygoda wygodą, ale co z bezpieczeństwem? Płacenie „plastikiem” jest bezpieczniejsze, niż używanie gotówki, o ile przestrzegamy kilku prostych zasad.
Czytaj też: Co się musi stać, byśmy w ogóle przestali używać gotówki? Tylko trzy małe rzeczy
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Czytaj: Chargeback czyli dlaczego wolę płacić duże rachunki kartą, niż przelewem. Jak to działa?
1. PIN, czyli drzwi do twoich pieniędzy
Co prawda coraz częściej płacimy kartami nie podając PIN-u (każda karta zbliżeniowa ma jakiś limit transakcji tego typu, które można realizować jedna po drugiej, który jest „odnawiany” transakcją na kod PIN), ale te cztery cyfry wciąż są kluczem do naszych pieniędzy. Jeśli ktoś wejdzie w posiadanie naszej karty płatniczej, a jednocześnie będzie znał PIN do tej karty, może ograbić nas z pieniędzy.
Dlatego PIN do karty powinien być pilnie strzeżoną tajemnicą jej posiadacza, której nikomu nie należy powierzać. Przede wszystkim PIN-u nie wolno nigdzie zapisywać. Znam osoby, które zapisywały PIN na karteczce, którą nosiły w portfelu. Przestały dopiero wtedy, gdy uświadomiłem im czym to grozi. To fatalny zwyczaj, który może się skończyć kradzieżą pieniędzy.
Po drugie wpisując PIN w terminalu – niezależnie od tego czy jest to terminal sklepowy, czy bankomatowy – zawsze zakrywajmy klawiaturę ręką. Nawet jeśli wydaje się, że nikt nie stoi za naszymi plecami i nie obserwuje co wpisujemy na klawiaturze, warto zachować ostrożność.
Jest XXI wiek, wszędzie są kamery, a poza tym nie jest trudno zainstalować taką małą kamerkę w okolicy miejsca, gdzie ludzie używają kart płatniczych. Jeśli ktoś pozna nasz PIN, będzie starał się zabrać nam kartę i wyciągnąć z niej pieniądze. Są to coraz rzadsze przestępstwa – złodzieje starają się okradać nas przede wszystkim zdalnie, przez internet – ale, niestety, wciąż się zdarzają.
Czytaj też: Co może powiedzieć o tobie karta płatnicza, którą masz w portfelu? Wbrew pozorom całkiem sporo!
Nawet jeśli dobrze chronimy nasz PIN, a np. zgubimy kartę (to się może zdarzyć każdemu, ja zgubiłem już w życiu trzy karty płatnicze), to nie jesteśmy bezpieczni jeśli złodziej odgadnie kombinację cyfr kodu PIN. Nie wymaga to często nadprzyrodzonych zdolności, wystarczy spróbować najczęściej spotykanych kombinacji cyfr. Należą do nich cztery jedynki, kombinacja 1234 (choć na szczęście niektóre banki już nie pozwalają klientom ustalać tak łatwych kodów PIN), a także miesiąc i rok urodzenia.
Wydaje nam się, że te ostatnie dane są trudne do odgadnięcia? Teoretycznie tak, ale przecież może się zdarzyć, że zgubimy lub zostanie nam skradziony cały portfel, a nie tylko karta płatnicza. Gwarantuję, że pierwszymi kombinacjami cyfr, które sprawdzi złodziej, będzie data urodzenia okradzionej osoby, a także wspomniane wcześniej popularne kombinacje. Na szczęście złodziej (lub nieuczciwy znalazca plastiku) będzie miał tylko trzy próby, później karta zostanie zablokowana.
W systemie kart płatniczych odpowiedzialność klienta – o ile nie można mu udowodnić, że udostępnił komuś dane karty lub był w tym względzie rażąco nieostrożny – jest ograniczona do równowartości 150 euro. Jeśli straciliśmy kartę, to z definicji nie odpowiadamy za straty od momentu, w którym powiadomiliśmy o tym bank i zastrzegliśmy kartę (warto zapisać gdzieś lub zapamiętać numer telefonu, pod którym można zastrzec kartę).
A nawet jeśli złodziej już zaczął działać, nasza odpowiedzialność nie może przekroczyć 150 euro. W przypadku kart zbliżeniowych limit odpowiedzialności klienta jest jeszcze mniejszy – wynosi równowartość 50 euro (220 zł). Banki oferują też ubezpieczenia, które zmniejszają limit odpowiedzialności klienta do zera. Takie ubezpieczenie zwykle kosztuje 2-3 zł miesięcznie.
————————————————-
Odwiedź też stronę akcji „O wygodnym płaceniu, czyli niezbędnik nowoczesnego konsumenta”. Tam piszę o wszystkich nowościach ze świata płatności oraz poradniki o bezpiecznym używaniu kart i wyciskaniu z nich maksymalnie dużo korzyści. Zapraszam: kliknij ten link
————————————————–
2. Czy karty zbliżeniowe są bezpieczne?
Jeśli bank wyda ci kartę do konta, to najpewniej będzie to karta zbliżeniowa. Czyli taka, którą można płacić bez wkładania jej do terminala, a jedynie zbliżając. Dodatkowo jeśli transakcja jest mniejsza, niż 50 zł, nie trzeba wbijać do terminala PIN-u. W takim przypadku płacenie jest naprawdę szybkie i przyjemne. Co by nie mówić: większość twoich transakcji będzie miało wartość poniżej 50 zł, więc będziesz mógł je „załatwić” jednym zbliżeniem.
Czy to bezpieczne? Dzięki temu, że karta nie musi znaleźć się w terminalu, nie wypuszczasz jej ani na moment z rąk. To ważne zwłaszcza w barach, pizzeriach i w innych miejscach, w których kelner lub sprzedawca mógłby zabrać kartę i sam włożyć ją do terminala. Wypuszczenie karty z rąk oznacza, że ktoś może podpatrzyć lub sfotografować dane karty. Jest i druga strona medalu. Skoro przy małych transakcjach nie jest potrzebny PIN, to jeśli zgubisz kartę, ktoś może nią zrobić drobne zakupy na twoje konto.
Jak banki nas pilnują? Każda karta zbliżeniowa ma limit (ilościowy lub wartościowy) transakcji, które można wykonać bez PIN. Po jego przekroczeniu kolejna transakcja będzie już potrzebowała PIN-u, nawet jeśli będziesz robił tylko drobne zakupy. Jeśli stracisz kartę, nieuczciwy znalazca lub złodziej też będzie mógł użyć karty najwyżej kilkakrotnie. Jeśli nie podpatrzył PIN-u do twojej karty, twoje straty nie przekroczą raczej 200-250 zł.
Czy da się zdalnie „wykorzystać” kartę zbliżeniową? W internecie można znaleźć filmiki pokazujące w jaki sposób da się zdalnie okraść posiadacza karty zbliżeniowej „na przedłużacz”. Otóż Ktoś w autobusie ma smartfon ze złodziejskim oprogramowaniem. To oprogramowanie „udaje” terminal sklepowy i inicjuje transakcję. Smartfon złodzieja jest jednocześnie „przedłużaczem”, który przekazuje dane o tej transakcji do wspólnika, który jest w sklepie i płaci kartą na nasz koszt.
To prawda, ale… nie dotyczy kart zbliżeniowych wydawanych przez polskie banki. Wczesne technologie zbliżeniowe posługiwały się kodami, które się nie zmieniały i rzeczywiście można było dzięki temu seryjnie wykonywać transakcje na czyjś koszt. W Europie karty zbliżeniowe od początku mają tzw. dynamiczne uwierzytelnianie. A więc każda transakcja ma inny kod.
Nawet więc gdyby jakimś cudem złodziej znalazł się wystarczająco blisko naszej karty, nic nie zakłóciłoby transmisji danych (filmy obrazujące kradzież były nagrywane w sterylnych warunkach, w rzeczywistości na ulicy „rozmawia” ze sobą mnóstwo urządzeń i jest poważny szum informacyjny), to mógłby ukraść nam najwyżej 50 zł. Biorąc pod uwagę koszty i ryzyko całej „zabawy” to się po prostu nie opłaca. Nieprzypadkowo ten rodzaj kradzieży w ogóle u nas nie występuje, choć 80% wszystkich kart płatniczych w naszych kieszeniach to „zbliżeniówki”.
Każdy bank ma obowiązek umożliwić ci wybór karty bez technologii zbliżeniowej lub umożliwić jej wyłączenie. Korzystanie z tego typu kart nie jest więc obowiązkowe. Jeśli masz kartę bez funkcji płacenia zbliżeniem albo jeśli tę funkcję wyłączysz, masz pewność, że nawet jeśli stracisz kartę, znalazca lub złodziej, nie znając twojego PIN-u do niej, nie wyciągnie z niej ani grosza.
Ale ten medal ma dwie strony: nie będziesz też mógł płacić poprzez zbliżanie karty do czytnika i zawsze będziesz musiał podawać PIN (płacenie będzie więc trwało dłużej, zwłaszcza jeśli chodzi o małe sumy, no i będziesz musiał uważać, żeby sprzedawca nie zabrał ci karty, żeby włożyć ją do terminala).
3. Przy bankomacie uważaj na kamery i nakładki
Bankomat to kolejne miejsce, przy którym lubią usadowić się złodzieje. Oczywiście wciąż w cenie jest podpatrywanie PIN-ów wpisywanych przez klientów, ale jest i bardziej niebezpieczny sposób okradania nas z pieniędzy. To skimming, czyli kopiowanie kodów paskowych kart płatniczych.
Nasze karty są bardzo nowoczesne, zwykle mają czipy, na których zapisywane są istotne dane. Takiego czipa nie da się skopiować, ani sklonować. Ale na kartach, oprócz czipa, wciąż są umieszczone paski magnetyczne. Po co? Głównie po to, byśmy mogli używać naszych kart w krajach mniej nowoczesnych, gdzie nie wszystkie terminale w sklepach i bankomatach potrafią „odczytać” dane na czipach.
Ma to swoje dobre i złe strony: dzięki paskowi magnetycznemu możemy być pewni, że wszędzie, gdzie są honorowane karty płatnicze danej organizacji płatniczej będziemy mogli użyć naszej karty. Ale z drugiej strony o ile czipa nie sposób skopiować, o tyle pasek magnetyczny, i owszem, można.
Złodzieje instalują więc przy bankomatach (przy szczelinach, do których wkładamy karty) specjalne nakładki, które kopiują pasek magnetyczny. Jeśli złodziej podpatrzy nasz PIN i ma dane z paska, to przesyła je do wspólników w kraju, gdzie np. bankomaty nie są tak nowoczesne jak u nas i oni wypłacają z tych urządzeń pieniądze. Oczywiście: banki i organizacje płatnicze dysponują systemami antyfraudowymi i przeważnie szybko alarmują posiadacza karty, że ktoś próbuje płacić nią np. w Bułgarii, albo w Afryce, ale warto się pilnować.
Nakładki częściej są instalowane na bankomatach wolnostojących, które są słabiej monitorowane niż te „przyklejone” do oddziałów banków lub znajdujące się w pomieszczeniach. Warto więc przy takich bankomatach być bardziej ostrożnym. Na szczęście coraz więcej banków i bankomatów umożliwia wypłacanie pieniędzy bez wkładania karty do urządzenia. Po prostu mają technologię zbliżeniową, co w 100% unieszkodliwia przestępców uprawiających skimming.
Nawet gdybyśmy zostali okradzeni z pieniędzy za pomocą skimmingu, to bank odda nam pieniądze – tego typu przestępstwa zwykle nie wiążą się z żadną winą, ani szczególną nieostrożnością klienta, więc nie ma powodu, by go karać.
4. Sprawdź limity autoryzacyjne
Każda karta ma przypisane dzienne i miesięczne limity transakcji. W większości banków są one ruchome i klienci mogą nimi samodzielnie manewrować w bankowości internetowej. Proponuję każdemu czytelnikowi, by zaraz po zakończeniu lektury niniejszego tekstu wszedł do swojego banku przez internet i sprawdził czy limity liczby i wartości transakcji nie są ustawione zbyt wysoko w stosunku do potrzeb. Jeśli nie płacimy w sklepach milionowych rachunków, to dzienny limit transakcji nie musi być zdefiniowany „do wysokości salda” albo „do 100.000 zł”.
Dzięki rozsądnym limitom nawet gdybyśmy stracili kartę, albo jej dane wpadłyby w ręce internetowych złodziei, będziemy mieli pewność, że straty – które w większości lub w całości i tak bank nam powinien zwrócić – nie będą zbyt wysokie. Życzę bezpiecznego płacenia!
5. Jak się zachować, gdy stracisz kartę?
Utraconą kartę należy natychmiast zastrzec. Zastrzeganie dokumentów (nie tylko kart płatniczych, ale też dokumentów osobistych i prawa jazdy czy paszportu) jest zresztą dziecinnie łatwe. W 2014 r. został uruchomiony System Zastrzegania Kart. Wystarczy zadzwonić pod prosty do zapamiętania numer 828 828 828, który jest czynny przez całą dobę, przez siedem dni w tygodniu.
Po uzyskaniu połączenia jesteśmy pytani o to, który bank wydał utraconą kartę. Następnie system (bo całe rozwiązanie jest oparte na automatycznym rozpoznawaniu mowy) przekierowuje nas do odpowiedniego banku, który przeprowadza dalszą procedurę zastrzeżenia karty. Zastrzeżenia można dokonać w placówce dowolnego banku
6. Czy można ukraść pieniądze spisując dane z karty?
Na każdej karcie płatniczej znajduje się kilka danych. Jest numer karty i data jej ważności, jest nazwisko posiadacza plastiku, a na odwrocie jest kod CVV2/CVC2, który przydaje się przy transakcjach zdalnych (przez telefon lub internet) jako potwierdzenie, że mamy swoją kartę przed nosem. Czy jeśli ktoś pozna komplet tych danych może nas okraść?
Jeśli karta ma wyłączoną możliwość wykonywania transakcji przez internet – nie ma takiej opcji. W takim przypadku karty nie da się użyć inaczej, niż w bankomacie lub terminalu. A jeśli nie wyłączyliśmy możliwości używania karty w e-sklepach? Wtedy dużo zależy od standardów zabezpieczeń stosowanych przez bank.
Najlepiej jeśli Twoja karta jest objęta standardem 3D Secure. Oznacza on, że każda próba zdalnego użycia karty musi być potwierdzona kodem jednorazowym, który Twój bank wysyła na Twój telefon komórkowy. A więc żeby zapłacić Twoją kartą w e-sklepie ktoś musiałby nie tylko mieć wszystkie jej dane, ale również Twój telefon komórkowy w ręku (albo przynajmniej porządnie zhakowany, by móc przejąć SMS-a wysłanego przez bank).
A jeśli e-sklep nie wymaga do sfinalizowania transakcji niczego więcej, niż tylko numeru karty i daty jej ważności? Cóż, wtedy oczywiście może dojść do złodziejskiej transakcji, ale wówczas klient może – i powinien – złożyć reklamację, a następnie uruchomić procedurę chargeback. Wówczas sklep, który niewystarczająco wnikliwie zweryfikował kupującego będzie musiał oddać pieniądze. I załatwią to za nas bank, firma obsługująca płatności po stronie e-sklepu oraz organizacja płatnicza firmująca kartę.
Tak czy owak: zasady higieny finansowej przewidują, że nikomu nie podajemy karty płatniczej (w dobie wszystkowidzących kamer wystarczy, że ktoś nieuczciwy pokaże kartę z obu stron pod odpowiednim kątem do kamery i już ma wszystkie dane), nie przekazujemy jej nigdy w zastaw, ani nie afiszujemy się nią. To instrument do płacenia, a nie do pokazywania. Można też zakleić niektóre cyfry, żeby przypadkowy obserwator nie zapamiętał wszystkich danych.
Dane naszej karty mogą też wyciec z bazy danych jakiegoś e-sklepu, w którym kiedyś płaciliśmy. Aby tego uniknąć najlepiej nie podawać przy płaceniu w e-sklepie wszystkich danych karty, lecz zapisać kartę w jednym z systemów stworzonych przez organizacje płatnicze. Visa ma system Visa Checkout, zaś MasterCard – MasterPass.
Jeśli e-sklep obsługuje ten sposób płacenia, to wybierając płatność kartą nie musimy podawać wszystkich jej danych, a tylko login i hasło do tej usługi.
—————————————————————————————————
Płać w sieci bezpiecznie, wygodniej i z chargebackiem. Jeśli chcesz bezpiecznie i bardzo wygodnie płacić kartą w sieci, to pod tym linkiem możesz zarejestrować swoją kartę w usłudze Visa Checkout. Będziesz mógł/mogła płacić w sieci niemal jednym kliknięciem, a jednocześnie będzie to płatność kartą, a nie e-przelewem, a więc będziesz zabezpieczony/a chargebackiem. Więcej o usłudze Visa Checkout pisałem tutaj
—————————————————————————————————-
Artykuł powstał w ramach cyklu „O wygodnym płaceniu – niezbędnik nowoczesnego konsumenta. Partnerem merytorycznym tego cyklu jest organizacja płatnicza
—————————————————————————————————-
ilustracja tytułowa: stevepb/pixabay.com