28 maja 2018

Zablokował możliwość zatwierdzania transakcji kartą przez telefon. Zdziwił się, gdy usłyszał przez telefon…

Zablokował możliwość zatwierdzania transakcji kartą przez telefon. Zdziwił się, gdy usłyszał przez telefon…

Wielu moich czytelników to już naprawdę „bystre sztuki”. Nie dość, że staracie się rozsądnie używać swoich kart płatniczych, to jeszcze chodzi Wam po głowie „wyłączanie” niepotrzebnych funkcjonalności. I słusznie – jeśli używacie karty tylko w określonych okolicznościach, to po co wystawiać się na ryzyko, że niepowołana osoba zrobi z karty użytek? Kłopot w tym, że… system nie nadąża

Kłopot z bankami polega na tym, że „włączanie” i „wyłączanie” poszczególnych funkcji często jest niemożliwe lub ograniczone. Owszem, można manewrować limitami dziennymi i miesięcznymi, ale odcięcie karty od określonego typu transakcji często uchodzi za mission impossible. O tym, że tak być nie musi, przekonuje choćby Revolut, który ma chyba najbardziej elastyczne – w sensie zarządzania funkcjonalnościami przez każdego klienta z osobna – karty jakie widziałem.

Zobacz również:

„Już dłuższy czas temu głowię się nad rozmaitymi aspektami bezpieczeństwa poszczególnych rodzajów płatności. Swego czasu ustanowiłem sobie blokadę transakcji MOTO/EC, wychodząc z założenia, że realizuję takowe stosunkowo rzadko, a ten typ transakcji wydaje się być narażony na względnie wysokie zagrożenie (np. przy płatnościach za hotele)”

– opowiada jeden z moich czytelników. MOTO/EC to transakcje telefoniczne, w których klient nie prezentuje sprzedawcy karty w realu, ale podaje jej dane przez telefon, zaś operator na podstawie połączenia z bankiem weryfikuje ich prawidłowość i obciąża saldo wskazaną kwotą.

Czy da się skutecznie zablokować transakcje MOTO/EC?

Czy to wyjątkowo ryzykowna funkcjonalność? Owszem, można sobie wyobrazić, że ktoś użyje w ten sposób mojej karty, bo wcześniej ukradł jej dane, ale przy zwykłych transakcjach internetowych też w sumie nie jest to wykluczone.

Ale skoro czytelnik nie płaci za nic przez telefon i ta funkcja jest mu niepotrzebna, to jej „unieszkodliwienie” na pewno nie zaszkodzi. Bank na ustanowienie blokady transakcji typu MOTO/EC się zgodził i klient żył w przekonaniu, że jego karta nigdy nie zadziała „na telefon”. Ale był w błędzie.

„Ostatnio opłacałem ubezpieczenie OC samochodowego w firmie Proama, podając dane karty telefonicznie. Moim zdaniem to jest typowa MOTO/EC. Chwilę później zorientowałem się, że przecież moja karta nie powinna w ogóle zadziałać przy takiej płatności. Ku memu osłupieniu, płatność powiodła się. Co więcej, mój mBank oświadczył, iż wybór formatu zapytania autoryzacyjnego zależy wyłącznie od danego sprzedawcy”

– mówi mój czytelnik. I zadaje mi trudne pytanie: czy rzeczywiście to posiadacz terminalu może go sobie skonfigurować w dowolny sposób, by np. transakcje telefoniczne były rejestrowane jako internetowe? I czy de facto nigdy nie mamy pewności czy nasza płatność kartą zostanie potraktowana jako zdalna czy jako internetowa?

Czytaj też: Preautoryzacja czyli pułapka? Gdy hotel lub wypożyczalnia zablokują za dużą kwotę i… nie chcą jej „uwolnić”

Czytaj też: Zamówił kierowcę Ubera. Ten nie przyjechał. Ale za to karta klienta… „odjechała”

Bank przyjął zlecenie, bo wszystko się zgadzało. Ale czy rzeczywiście się zgadzało?

Bank potwierdził, że otrzymał zapytanie autoryzacyjne w formacie transakcji internetowej. I że z punktu widzenia banku transakcja przebiegła prawidłowa, a więc dane karty podane w zleceniu autoryzacyjnym były tożsame z tymi znajdującymi się w systemach banku.

„Bank jest podmiotem przyjmującym i realizującym zlecenia płatnicze. Przed udzieleniem zgody na autoryzację transakcji weryfikujemy dostępne limity autoryzacyjne dla transakcji danego typu. W tym przypadku były one na odpowiednim poziomie”

– oświadczyli bankowcy. Dziwne? Niedawno opisywałem na „Subiektywnie o finansach” zdziwienie klienta, który zapłacł w restauracji 150 zł i terminal w ogóle nie zażądał od niego PIN-u. Wtedy też okazało się, że był to element swobody działania restauratora, który tak po prostu ustawił sobie terminal.

W banku nie zobaczyli problemu. Ich zdaniem obniżenie standardów dotyczących bezpieczeństwa transakcji powoduje tylko to, że w razie reklamacji to ów restaurator odpowiadałby za ewentualne szkody (bo nie byłby w stanie udowodnić, że karty użył prawowity użytkownik). No, chyba, że restauracja jest monitorowana i w nagraniu dałoby się uchwycić moment transakcji.

Czytaj też: Zapłacił kaetą 150 zł za obiad, a terminal… nie zażądał PIN-u. Jak to możliwe? I czy to jest bezpieczne?

System wie wszystko lepiej?

W omawianym dziś przypadku sprawa jest grubsza, bowiem nie chodzi o kwotę zakupu, którą można przeprowadzić bez PIN-u, lecz o umożliwienie zakupu, który – zdaniem klienta – w ogóle nie powinien być dostępny (bo karta w ogóle nie powinna zadziałać „na telefon”).

Klient poczuł się mniej bezpiecznie. I tego jego subiektywnego odczucia nie należy lekceważyć. Banki nie powinny oferować klientom funkcji, których działania nie są w stanie później wyegzekwować. A jak sytuacja wygląda od strony „systemowej”?

Celem systemu jest spowodowanie, by klient miał jak najszersze możliwości używania karty. I widać w tym przypadku „system wie lepiej” czego klient potrzebuje. A gdyby to była transakcja fraudowa? Według bankowców, z którymi na ten temat rozmawiałem, odpowiedzialność za nią musiałby wziąć punkt handlowy, który – dla wygody własnej i klientów – tak skonfigurował terminale.

Ale z punktu widzenia klienta to marne pocieszenie. Bo przy „polskim” tempie załatwiania reklamacji jest pewne jak w banku, że straci mnóstwo czasu i nerwów zanim rzecz zostanie odkręcona. No i właśnie po to zablokował (a właściwie myślał, że zablokował) sobie możliwość dokonywania transakcji określonego typu, by mieć pewność, że czasu i nerwów nie straci.

źródło zdjęcia tytułowego: Cermati.com

 

Subscribe
Powiadom o
5 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Łukasz
5 lat temu

Pytanie. Czy przez telefon podawał numer CVV? Mam wrażenie, że przy transakcjach typu MO/TO nie podaje się numeru CVV i operacja bez tego przechodzi. Jeśli CVV jest podawane (w sumie dość kiepski pomysł, że przez telefon trzeba podać, ale niestety polscy ubezpieczyciele w większości wypadków tak działają) to potem transakcja jest traktowana jako internetowa.

Don Q.
5 lat temu
Reply to  Łukasz

Z tego, co mi wiadomo, to w Europie wszystkie transakcje CNP (przynajmniej kartami MC i Visa) muszą mieć CVV/CVC.

Łukasz
5 lat temu
Reply to  Don Q.

Nie wydaje mi się. Gdyż często do potwierdzania rezerwacji hotelowych uzywam karty bez podawania numeru CVV a hotel nie ma problemu z dokonaniem preautoryzacji (chociaż nie każdy to robi)

Krzysztof A.
5 lat temu

Ja z kolei miałem sytuację odwrotną – limity na MOTO/EC miałem ustawione na 0, rezerwowałem przez internet bilety lotnicze i transakcja nie przeszła. Po kontakcie z infolinią linii lotniczych zasugerowali kontakt z bankiem, gdyż widzieli że transakcja została zablokowana po stronie banku, ale nie mogli sprawdzić przyczyny. Przy kontakcie z bankiem okazało się, że transakcja mimo przeprowadzenia przez internet poszła jako MOTO/EC i została zablokowana właśnie przez moje limity. Czyli wychodzi na to, że faktycznie jest pełna dowolność po stronie akceptanta płatności 😉

Don Q.
5 lat temu
Reply to  Krzysztof A.

Tak, w praktyce to programista ustawia, które transakcje są MOTO, a które e-commerce (np. te wykonywane z panelu, do którego się loguje osoba przyjmująca zamówienia telefoniczne to MOTO, a te złożone z normalnych stron sklepu to e-commerce). Przeważnie technicznie jest to bardzo proste, różnią się one tylko tylko jedną flagą w danych płatności. Jednak ten typ transakcji powinien być ustawiony poprawnie, choćby dlatego, że z typem transakcji (retail, moto, e-commerce) skorelowana jest liczba fraudów, i m.in. dlatego typ transakcji może wpływać na wysokość prowizji. Jeśli klient wystąpi o chargeback dla jakiejś transakcji i okaże się, że merchant niepoprawnie ustawił jej… Czytaj więcej »

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu