KNF o zbliżeniówkach: wyłączyć offline, dać klientom wybór, ułatwić reklamacje!

Jakiś czas temu informowałem Was, że Narodowy Bank Polski pochylił się nad bezpieczeństwem kart zbliżeniowych. Tych, które pozwalają na płacenie bez PIN rachunków do 50 zł. Powstał w tym celu specjalny zespół ekspercki przy Radzie Ryzyka Systemowego działającej w łonie NBP. To był m.in. wynik cyklu artykułów, które – na podstawie Waszych doniesień, relacjonowanych na bieżąco w blogu – napisałem w „Gazecie Wyborczej”. Było w nich – przypomnę tym, którzy zaglądają tu rzadko – o przypadkach kradzieży dużych sum pieniędzy z kart zbliżeniowych. Po kilkudniowym „śledztwie” udało mi się ustalić, że część transakcji zbliżeniowych jest wykonywana bez połączenia z bankiem, zaś liczniki transakcji zainstalowane na kartach nie zawsze blokują możliwość płacenia bez PIN-u po kilku z rzędu takich transakcjach (choć blokować powinny). Przy okazji uwydatniły się inne felery kart zbliżeniowych: że większość banków nie pozwala klientom wyłączyć funkcji zbliżeniowej, część nie posiada w ofercie kart bez tej technologii, a część nie ubezpiecza tzw. „wkładu własnego” klienta, który w przypadku złodziejskich transakcji wynosi 150 euro.

Czytaj komentarz w „Gazecie Wyborczej”: Sąd nad „zbliżeniówkami”

Ujawnienie tych wszystkich nieprawidłowości spowodowało, że bezpieczeństwem kart zbliżeniowych zainteresował się nie tylko bank centralny, ale też Główny Inspektor Ochrony Danych Osobowych, a niektóre banki wprowadziły lub zapowiedziały wprowadzenie możliwości blokady funkcji płatności przez zbliżenie. Rekomendacje zespołu ekspertów przy NBP nie są jeszcze gotowe, ale we wtorek swoje stanowisko w sprawie bezpieczeństwa kart zbliżeniowych ogłosiła Komisja Nadzoru Finansowego. Główny wniosek jest mało odkrywczy: że gdyby banki prawidłowo zabezpieczały karty zbliżeniowe, nie byłoby o czym pisać: „Zakładając powszechność i skuteczność wbudowanych w karty mechanizmów ograniczających liczbę transakcji dokonywanych off-line bez konieczności podawania PIN (których jednak na dzień dzisiejszy banki nie stosują powszechnie), posługiwanie się tego typu kartami nie powinno generować w skali pojedynczego klienta ryzyka dokonywania oszukańczych transakcji zbliżeniowych na kwotę przekraczającą z góry określoną przez dany bank (zwykle od 50 do 300 zł).

ZBLIŻENIOWE RYZYKO TO CENA… BEZPIECZEŃSTWA. Ten wniosek KNF oczywiście nie oznacza, że używając takich kart nie można stracić pieniędzy. „Wydaje się, że poziom ryzyka związanego z korzystaniem z tego typu kart jest zbliżony do poziomu ryzyka związanego z korzystaniem z kart nie wyposażonych w tę funkcjonalność. Przyjęty sposób autoryzacji transakcji zbliżeniowych powoduje jednak, iż w wielu przypadkach nie istnieją żadne zabezpieczenia uniemożliwiające postronnej osobie, która weszła w posiadanie karty zbliżeniowej, dokonanie niskokwotowej transakcji płatniczej. Natomiast przy użyciu karty z funkcją płatności zbliżeniowej niwelowane jest ryzyko związane ze skopiowaniem karty związane z utratą fizycznego kontaktu z kartą„. A więc: z kartami zbliżeniowymi jest związane ryzyko strat, ale niewielkich kwotowo. Po drugiej stronie szali jest natomiast korzyść wynikająca z tego, że aby zapłacić nie trzeba wypuszczać karty z rąk. Nikt jej więc nie skopiuje, ani nie przeczyta danych, które umożliwiłyby płacenie przez internet bez posiadania karty.

TRANSAKCJE OFFLINE POWINNY BYĆ TYLKO DLA CHĘTNYCH. Nadzór bankowy potwierdza, że niektóre banki pozwalają na płacenie zbliżeniem w wersji offline, czyli bez sprawdzenia salda. Ryzyka są dwa: klient może nie zorientować się, że przekroczył saldo, a jeśli na karcie źle działa licznik transakcji, złodziej może płacić kartą bez końca. „Z przekazanych wyjaśnień wynika, iż banki z zasady dopuszczają możliwość dokonania transakcji, która nie ma pokrycia w saldzie rachunku lub przekracza limit kredytowy. W takiej sytuacji banki naliczają klientom stosowne opłaty. (…) Tylko jeden bank poinformował, iż z uwagi na autoryzację wszystkich transakcji on-line, nie jest możliwe dokonanie transakcji przekraczającej saldo rachunku lub przyznany limit kredytowy. (…) Z wyjaśnień niektórych banków można wysnuć wniosek, iż organizacja Visa (w przeciwieństwie do MasterCard) nie dopuszcza dokonywania wszystkich transakcji zbliżeniowych wyłącznie w trybie online„. KNF domaga się od banków, by z offline’m zrobiły porządek. Wątpliwości budzi dopuszczalność praktyki, polegającej na narzucaniu wbrew woli posiadaczy kart (…) postanowień przewidujących możliwość dokonania transakcji płatniczej, która nie ma pokrycia w saldzie rachunku lub przekracza uzgodniony limit kredytowy„.

REKLAMACJA? BANK MA OD RAZU ODDAĆ PIENIĄDZE.Przyjęty sposób autoryzacji transakcji zbliżeniowych powoduje, iż w wielu przypadkach nie istnieją żadne zabezpieczenia uniemożliwiające postronnej osobie, która weszła w posiadanie karty zbliżeniowej dokonanie niskokwotowej transakcji płatniczej. (…) W przekazanych wyjaśnieniach banki zwykle nie informują precyzyjnie, w jaki sposób dowodzą, że transakcja zbliżeniowa została autoryzowana, jeżeli fakt ten kwestionowany jest przez posiadacza karty. (…) Jeden z banków wskazał wprost, iż z uwagi na specyfikę transakcji nie istnieje możliwość udowodnienia, kto faktycznie dokonał transakcji zbliżeniowej do 50 zł, jeżeli klient ją kwestionuje” – pisze KNF. W związku z tym nadzór uważa, że bank w każdym przypadku, zaraz po złożeniu przez klienta reklamacji, ma obowiązek zwrócić pieniądze, a dopiero potem rozpocząć wyjaśnianie sprawy. „W przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca usług płatniczych jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej„. KNF pisze, że bank nie ma prawa żądać od klientów kopii złożonego na policji zaświadczenia o kradzieży karty. „W żadnym przypadku dostawca nie może uzależniać uznania roszczenia w przypadku zgłoszonej przez klienta nieautoryzowanej transakcji od wymogu powiadomienia policji o podejrzeniu popełnienia przestępstwa

WYCZYŚCILI CI KONTO? PŁAĆ 150 EURO. Jakkolwiek nie ma żadnych sposobów, by bank mógł udowodnić kto dokonał transakcji bez PIN, jeśli ją zakwestionowałeś i jakkolwiek „wykazanie użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana„, to jednak – zdaniem KNF – kto zgubi kartę zbliżeniową, musi ponieść karę z tytułu nieautoryzowanych transakcji. . „Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej (…), jednakże także płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 150 euro (…)„. To oznacza, że jeśli bank chciałby odrzucić reklamację klienta w całości,  musi mu udowodnić, że to on dokonał transakcji lub celowo doprowadził do kradzieży pieniędzy. Jeśli bank tego nie jest w stanie udowodnić, to nie musi przejąć odpowiedzialności w pełni, ale tylko powyżej 150 euro. Według KNF nie ma znaczenia to, że niektóre banki nie wydają kart innych, niż zbliżeniowe.

CZY KARTĘ ZBLIŻENIOWĄ MOŻNA OKRAŚĆ ZDALNIE? Nadzór bankowy zbadał sześć scenariuszy przestępstw związanych z kartami zbliżeniowymi. Z jego ekspertyzy wynika, że teoretycznie można zdalnie karcie zaszkodzić.  1. Zdalne wyczytanie danych karty.Wydawane obecnie w Polsce karty zbliżeniowe nie udostępniają w trybie zbliżeniowym danych dotyczących imienia i nazwiska posiadacza karty ani kodu CVC2/CVV2, a jedynie numer karty i datę jej ważności. W związku z tym, jedyną możliwością wykorzystania danych pozyskanych z takiej karty wydaje się być dokonanie płatności u sprzedawcy, który nie wymaga podania poprawnych danych posiadacza karty i kodu CVC2/CVV2 – brak takich wymogów nie jest jednak zgodny ze standardami organizacji kartowych„. A więc nawet jeśli ktoś ukradnie nam w ten sposób pieniądze – bank powinien wziąć koszty na klatę i ściągnąć ją od sklepu. 2. Klonowanie karty: „Przestępca może na odległość pozyskać z karty zbliżeniowej dane, które następnie umożliwią mu dokonywanie transakcji w trybie zbliżeniowym przy użyciu urządzenia wykorzystującego technologię NFC (…) w przypadku niestosowania przez kartę połączonego uwierzytelnienia danych dynamicznych i wygenerowania kryptogramu aplikacji„. Czyli teoretycznie może się zdarzyć, że słabo zabezpieczoną kartę można sklonować. Ale w bankach mówią, że wszystkie „zbliżeniówki” są szyfrowane „dynamicznie”.

3. Atak typu przekaźnikowego. Taki fraud opisywałem w blogu jakiś czas temu. „Ponieważ każde urządzenie pośredniczące przekazuje do terminala lub karty dokładnie te dane, które otrzymało od drugiego urządzenia pośredniczącego, taki scenariusz jest teoretycznie wykonalny. Należy jednak zwrócić uwagę na trudności logistyczne związane z przeprowadzeniem tego rodzaju działania: przestępca przy terminalu płatniczym musiałby podjąć próbę dokonania płatności – tj. przyłożyć swoje urządzenie pośredniczące do terminala – w chwili, w której drugie urządzenie pośredniczące znajdowałoby się akurat w odpowiednio bliskiej odległości karty ofiary„. Jest też kwestia czasu: „Zgodnie ze standardami MasterCard całość komunikacji pomiędzy terminalem, a kartą powinna zakończyć się – w zależności od trybu dokonywania transakcji – w ciągu 250 milisekund w przypadku transakcji zbliżeniowych realizowanych w trybie paska magnetycznego i 500 milisekund w przypadku transakcji zbliżeniowych realizowanych w trybie chipowym„. KNF przywołuje przy tym wieści z Norwegii, której nadzór przesłał raport z 2009 r., w którym napisano, że „bezpieczeństwo transakcji dokonywanych przy użyciu kart bezstykowych nie może opierać się tylko i wyłącznie na ograniczeniu odległości, z której może być ona „odczytana”, bowiem – jak wynika z przeprowadzonych badań – karty te mogą być „odczytywane” z odległości znacznie większej niż ustalona 5-10 cm

CO KNF REKOMENDUJE BANKOM? Nadzór bankowy domaga się, by klienci mieli możliwość wyboru w sprawie korzystania lub niekorzystania z funkcji płacenia bez PIN w swoich kartach. KNF sugeruje wręcz, że ograniczanie klientom możliwości wyboru jest „niedozwoloną praktyką rynkową”. I domaga się, by klient mógł zdefiniować sobie, by każda transakcja zbliżeniowa była autoryzowana PIN-em, całkowicie zdeaktywować tę funkcjonalność lub samodzielne wprowadzić bardziej rygorystyczne od standardowych limity ilościowe i kwotowe na realizację płatności zbliżeniowych. KNF chce też, by banki wykorzystały wszystkie zabezpieczenia wbudowane w technologię płatności zbliżeniowych – używanie limitów liczby i kwot transakcji, definiowanych na czipach kart oraz stosowanie tzw. dynamicznego uwierzytelniania transakcji. Nadzór domaga się wreszcie, by banki przejrzały procedury reklamacyjne pod kątem „identyfikacji takich ich elementów, które w niewielkim stopniu zwiększają poziom bezpieczeństwa banku, a znacznie utrudniają dochodzenie swoich racji klientom„. Chodzi m.in. o to, by nie trzeba było osobno reklamować każdej transakcji.

Dodaj komentarz

avatar
  Subscribe  
Powiadom o

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss