Dla każdego posiadacza karty płatniczej bezpieczeństwo pieniędzy to sprawa najważniejsza. O ile przy używaniu karty w realnym świecie – w sklepach i bankomatach – można o nie zadbać nie spuszczając karty z oczu i chroniąc PIN przed oczami niepowołanych, o tyle w internecie jest trudniej. Każde wpisanie danych karty (numeru, daty ważności, kodu CVV/CVC) w internetowym formularzu grozi wpadnięciem tych informacji w niepowołane ręce. I tym, że ktoś będzie zdalnie płacił w internecie na nasze konto.
To dlatego organizacje płatnicze Visa i MasterCard promują nowe rozwiązanie – wirtualne „skarbce”, w których można zdeponować dane swojej karty. Dzięki temu w komunikacji ze sklepem internetowym można już używać zamiast danych karty tylko hasła, które złodziejowi nic nie powie. „Skarbiec” Visy nazywa się Visa Checkout, zaś „skarbiec” MasterCarda – Masterpass. Oba rozwiązania działają podobnie, choć do Visa Checkout można zapisać się samodzielnie, a do Masterpassa może zapisać klienta bank-wydawca karty.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Czytaj więcej: Tak działa Visa Checkout i MasterPass. Jeśli płacisz w sieci kartą, warto spróbować
Poza „skarbcem” organizacji płatniczej jest też rozwiązanie 3D Secure, czyli dodatkowa weryfikacja zakupów w sklepie internetowym. Niezależnie od tego czy wpisujesz wszystkie dane karty, czy tylko hasło (bo karta jest zapisana w „skarbcu”), zostaniesz poproszony o wpisanie do formularza internetowego kodu jednorazowego, który bank przesłał na Twojego smartfona. Nieco wydłuża to płatność, ale sprawia, że sklep ma pewność, że ktoś się nie podszywa pod prawowitego posiadacza karty.
Czytaj: Tak działa 3D Secure. Pogarsza wygodę, poprawia bezpieczeństwo
A jeśli żadne z tych zabezpieczeń nie zadziała? Jeśli nie zdeponowaliśmy karty w żadnym ze „skarbców”, a sklep w którym robimy internetowe zakupy oraz bank-wydawca karty nie wymagają zabezpieczenia 3D Secure? Wtedy zostaje trzecie zabezpieczenie – niski limit transakcji internetowych na karcie.
To dobry patent: jeśli porządnie pilnujemy karty, to niebezpieczeństwo, że ktoś nam ją wyjmie z kieszeni i pozna PIN jest minimalne. A jeśli dodatkowo zmniejszyliśmy do symbolicznej kwoty limit dzienny transakcji przez internet, to nikt nie będzie mógł użyć karty do większej kradzieży nawet jeśli jakimś cudem pozna jej dane.
O tym jak to może być ważne zabezpieczenie świadczy przygoda jednego z moich czytelników. Ta historia pokazuje, że warto na bieżąco kontrolować stan konta, zamówić SMS-y potwierdzające każdą transakcję na karcie, a gdy dzieje się coś niepokojącego – reagować szybko.
„Niedawno spotkała mnie niemiła przygoda – ktoś usiłował zapłacić moją kartą kredytową za zakupy warte ponad 500 euro w sklepie internetowym w Niemczech. Do dokonania transakcji wystarczył numer karty i kod CVV z odwrotu karty (niestety nie wszyscy sprzedawcy korzystają z 3D Secure). Nie zdziwiłem się, bo te dane w przypadku każdego aktywnego użytkownika karty po niedługim czasie znajdują się w wielu miejscach i e-sklepach. Z biegiem czasu ryzyko ich wypłynięcia rośnie. Wystarczy np. nieuczciwy recepcjonista w którymkolwiek z hoteli rezerwowanych przez booking.com”
– słusznie prawi pan Marek. A więc stało się: klient nie ma „skarbca” (a nawet jeśli ma to nie miał wcześniej i to wystarczyło), sklep nie zażądał weryfikacji 3D Secure, zaś dane karty ktoś podpatrzył. Sytuacja beznadziejna? Wcale nie, bo pan Marek zareagował błyskawicznie:
„Zorientowałem się praktycznie od razu, w dniu transakcji. Zastrzegłem kartę po czym wyszukałem w Google adres odbiorcy płatności (był w zestawieniach ostatnich transakcji) i napisałem do niego e-maila, że transakcja kartą o numerze XXXX na kwotę XY to usiłowanie oszustwa z wykorzystaniem skradzionych danych karty. Na drugi dzień dostałem odpowiedź, że dziękują za informację, jeszcze nie wysłali towaru, anulują transakcję i blokadę na mojej karcie. Blokada rzeczywiście zniknęła z mojego rachunku”
Można? Można. Jeśli klient na bieżąco monitoruje to co dzieje się na jego karcie, sprawdza ostatnie transakcje i – ewentualnie – korzysta z SMS-owych potwierdzeń, to nawet w przypadku próby kradzieży jest w stanie się obronić. Sklep internetowy nie ma przecież interesu żeby handlować ze złodziejem cudzych pieniędzy. Zwłaszcza, że skoro nie korzysta z 3D Secure, to prawdopodobnie sam musiałby oddać pieniądze panu Markowi w ramach procedury chargeback. Bo to ów sklep był słąbym ogniwem jeśli chodzi o bezpieczeństwo transakcji.
„Sprawa dała mi jednak do myślenia i postanowiłem ograniczyć ryzyko takich sytuacji. Gdybym nie sprawdził na czas stanu rachunku, to najpewniej odzyskanie pieniędzy byłoby znacznie trudniejsze. Dlatego postanowiłem ustawić sobie na karcie limit dla płatności przez internet w wysokości 500 zł. Gdybym potrzebował dokonać większej płatności, to zawsze mógłbym zalogować się do bankowości internetowej i podnieść limit, co dodatkowo wymaga potwierdzenia jednorazowym hasłem wysyłanym SMS-em. To byłaby skuteczna przeszkoda dla ewentualnego złodzieja dysponującego numerem i CVV mojej karty”
– kombinuje pan Marek. I ma rację jak cholera. Przy każdej aferze z ukradzionymi przez internet pieniędzmi proszę Was żebyście sprawdzili limity dla transakcji internetowych. Im niższy dzienny limit, tym lepiej, bo złodziej nie będzie mógł ukraść jedną transakcją dużej kwoty pieniędzy.
„Niestety okazało się, że w moim banku (ING Bank Śląski) możliwości ustalenia limitu dla transakcji kartą kredytową przez internet po prostu nie ma. Myślałem, że nie mogę go znaleźć, więc napisałem do banku z pytaniem, ale odpowiedź tylko to potwierdziła: „użytkownik karty nie ma wpływu na wysokość dziennych limitów. Na wszystkich kartach są one ustalone automatycznie”. Nie rozumiem dlaczego użytkownik karty nie może sobie ustawić limitu. Byłby to prosty, ale skuteczny sposób na ograniczenie ryzyka nieautoryzowanego użycia karty w internecie”
– dziwi się pan Marek. W odgórnych regulacjach banku ustalony jest jednolity limit pojedynczej transakcji dokonywanej na odległość – 25.000 zł – nie ma natomiast żadnego limitu transakcji bezgotówkowych. Są więc teoretycznie możliwe do wysokości salda karty. To dość dziwne podejście, chociaż być może bank patrzy na to z innej strony: „pieniądze na kartach kredytowych są nasze, bankowe. Klient je tylko pożycza. Jeśli okaże się, że ktoś je pożyczył zamiast klienta, to my je klientowi i tak zwrócimy”.
Gdyby tak rzeczywiście było, to może i niepotrzebne są limity. Bank bierze na klatę wszystkie transakcje kwestionowane przez klientów i błyskawicznie oddaje pieniądze w ramach każdej reklamacji. To piękna wizja, ale czy prawdziwa? Czy rzeczywiście klient nie musi udowadniać, że nie jest wielbłądem? Pisać pism, dołączać dokumentów, czekać tygodniami? To by było niepodobne do polskiego banku, ale może…
Uważam wszakże, iż nawet przy takim podejściu bank powinien zadbać o subiektywne poczucie bezpieczeństwa klienta. Jeśli będzie on czuł się bezpieczniej ustawiając sobie limit dla transakcji internetowych – to należy mu pozwolić taki limit ustalić. Niezależnie od tego jak kształtuje się realne zagrożenie, klient czujący się bezpiecznie staje się bardziej lojalny. A to jest wartość sama w sobie.
obrazek tytułowy: stevepb/Pixabay.com
