Mając kartę płatniczą w portfelu jesteśmy przygotowani na to, że jej używanie będzie się wiązało z przestrzeganiem dwóch zasad. Po pierwsze: każda transakcja powyżej 50 zł będzie wymagała podania kodu PIN. Po drugie: jeśli karta działa na zbliżenia to każdego dnia możliwe jest jej kilkukrotne użycie bez podania PIN-u. Ale tylko przy transakcjach poniżej 50 zł. I tylko wtedy, gdy nie wkładamy karty do terminala, a jedynie ją do niego zbliżamy.
Jakież było zdziwienie mojego czytelnika, gdy pewnego pięknego dnia użył swojej karty płatniczej i… nie zadziałała żadna z powyższych zasad! Pan Tomasz płacił w jednej z restauracji – a konkretnie w „Zapiecku” – i choć wartość transakcji wynosiła niemal 150 zł, zaś transakcja była przeprowadzona stykowo (czyli wkładając kartę do terminala), to… terminal w ogóle nie zażądał kodu PIN.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
„Składam reklamację w mBanku, który wydał kartę, a oni na to, że „tak ma być, bo to zależy od konfiguracji terminala”. Szczęka mi opadła… Znaczy to, że gdy jakiś złodziejski sklep, klub albo inny lokal ustawi terminale na „brak pytania o PIN”, to wyczyści mi całe konto, gdy karta wpadnie w niepowołane ręce?”
– pisze pan Tomasz. I snuje przypuszczenia, że przecież złodziej kart płatniczych może być w zmowie z takim punktem handlowym i – wiedząc, że żadna transakcja nie będzie wymagała PIN-u – „czyścić” karty klientom. Pan Tomasz poczuł się na tyle nieswojo, że złożył nawet reklamację, która jednak potwierdziła, że w opinii banku nic złego się nie stało.
„Płatność kartą MasterCard Miles&More w punkcie „Polskie Pierogarnie” w wysokości 144,69 zł przebiegła w technologii stykowej. Autoryzacja transakcji przebiegła wyłącznie na podstawie wprowadzenia karty do terminala płatniczego. Konfiguracja terminala płatniczego we wskazanym punkcie nie wymusiła wprowadzenia kodu PIN. To terminal płatniczy jest odpowiedzialny za wywołanie ekranu z prośbą o potwierdzenie płatności”
– napisał klientowi bank. I wyjaśnił, że dopuszcza wykonywanie stykowych transakcji bezgotówkowych kartą bez konieczności potwierdzenia jej za pomocą podpisu lub kodu PIN, gdyż dzięki temu można zapłacić kartą w sytuacjach niestandardowych.
A więc w terminalach które: mają ograniczenia konstrukcyjne (brak klawiatury lub ekranu dotykowego, na którym można byłoby podać PIN, np. automaty vendingowe, czy automatyczne kasy parkingowe), nie wymagają podania kodu PIN (jak np. punkty poboru opłat na autostradach) lub „są błędnie skonfigurowane”.
Czytaj: Chargeback czyli dlaczego wolę płacić duże rachunki kartą, niż przelewem. Jak to działa?
Odwiedź też stronę akcji „O wygodnym płaceniu, czyli niezbędnik nowoczesnego konsumenta”. Tam piszę o wszystkich nowościach ze świata płatności oraz poradniki o bezpiecznym używaniu kart i wyciskaniu z nich maksymalnie dużo korzyści. Zapraszam: kliknij ten link
Czytaj też: Karta służy do płacenia, ale czasem staje się też twoją tarczą obronną Kiedy tak zadziała? Sprawdzam!
To terminal sklepowy „decyduje” czy zażądać podania PIN-u?
Pytanie, które zadał mi klient banku, gdy przeczytał odpowiedź na reklamację, brzmi prosto: „Czy bank zwróci kwoty ściągnięte z karty w przypadku transakcji bez PIN w sytuacji np. utraty karty i wykonannia transakcji w takim terminalu?”. Skoro terminal można sobie „źle skonfigurować” i wtedy da się przyjmować dowolne płatności bez PIN-u, to tak, jak gdyby system był lekko dziurawy…
Nie potrafiłem odpowiedzieć na to pytanie, więc powędrowałem z nim do mBanku, który wydał kartę używaną przez pana Tomasza. I tam potwierdzono mi, że to karta z terminalem „decydują” o metodzie potwierdzenia transakcji. Jeśli terminal nie ma możliwości sprawdzenia PIN-u, to może wybrać podpis lub przeprowadzić operację bez żadnego potwierdzania. Wszystko zależy od tego jak jest skonfigurowany.
Bank tłumaczy, że wymuszanie PIN-u przy każdej transakcji powyżej 50 zł mogłoby spowodować odrzucanie transakcji w niektórych miejscach (np. w automatach parkingowych, czy na bramkach autostradowych), więc bank tego nie robi.
„Oczywiście dzieje się to z wszystkimi konsekwencjami reklamacyjnymi po stronie akceptanta i sprzedawcy. Oznacza to, że w sytuacjach spornych, w których transakcja nie była w żaden sposób zautoryzowana, sprzedawca bierze odpowiedzialność na siebie. To znaczy, że jeśli klient mówi nam, że nigdy nie robił takiej transakcji, a sprzedawca nie ma żadnego dokumentu potwierdzającego transakcje – czytaj podpisu autoryzującego kartę – to sprzedawca odpowiada za tę transakcję a my klientowi zwracamy pieniądze”
– odpowiedział mi bank. Czy to oznacza, że np. mogę zażądać zwrotu pieniędzy w każdym przypadku, gdy płaciłem stykowo, a terminal nie zażądał PIN-u ani podpisu? Nie, bo mogą istnieć inne dowody na to, że taką transakcję przeprowadzono. Np. bramki autostradowe są monitorowane, więc zarządca autostrady z łatwością dowiedzie, że kierowca był tam gdzie był i przeprowadzał płatność.
Jednak – według bankowców – takie ustawienie sytuacji powoduje, że posiadacz karty z jednej strony nie spotka się z odmową przeprowadzenia transakcji, a z drugiej strony jest „kryty” na wypadek, gdyby zdarzyło się, iż ktoś ukradnie mu kartę i wyczyści całe konto. Wówczas punkt, w którym terminal nie zażądał autoryzacji, musi mieć dowody, iż klient reklamujący transakcję nie ma racji.
A gdyby w takim punkcie handlowym odpowiednio „przeszkolony” pracownik ściągał z kont klientów większe kwoty, niż wynikające z faktycznej transakcji? Jeśli terminal nie żąda PIN-u to przecież można byłoby nabić klientowi rachunek na 1500 zł zamiast na 150 zł, prawda? Tu lekarstwem może być wzięcie potwierdzenia transakcji od sprzedawcy, ale co będzie, gdy skończy się papier w drukarce?
„Sytuacja, w której sklep teoretycznie wysyła do banku kwotę większą niż klient faktycznie miał na paragonie, nie jest możliwa. Klient za każdym razem, przy każdej transakcji widzi kwotę, która pójdzie do banku. Jeśli klient widzi kwotę X to nie ma możliwości, aby do banku przyszła kwota obciążenia np. Y”
– odpowiada bank. No i jeszcze na koniec trzeba przypomnieć, że generalnie w przypadku transakcji stykowych (czyli z włożeniem karty do terminala) w najczarniejszym scenariuszu klient może odpowiadać za straty wynikające ze złodziejskich transakcji tylko do kwoty 150 euro. Dzieje się tak w sytuacji, gdy nie zdąży zastrzec karty, a ktoś zacznie nią płacić. No, chyba, że sprzedawca nie może udowodnić żadnej formy zautoryzowania transakcji.
Jak widzicie, karty płatnicze potrafią zaskakiwać. Pisałem jakiś czas temu o funkcji kart, która objawiła się we wrocławskich biletomatach. Otóż można było w nich kupować bilety lub doładowania telefonów komórkowych bez podania PIN-u – zarówno zbliżeniowo, jak i stykowo. W pewnym momencie złodzieje się zorientowali i… bywało, że klienci tracili po kilkaset złotych.
Czytaj też: Czy kartą z wyłączonymi zbliżeniami można płacić bez PIN-u? Tak, w biletomacie. Klientka straciła 400 zł
Czytaj też: Koniec ery PIN-ów? Czy transakcje kartowe będziemy zatwierdzali biometrycznie?
Kupił abonament w Netfliksie i dowiedział się, że… byl w Amsterdamie
Konfiguracja terminali oraz e-terminali czasem bywa dziwna także przy transakcjach internetowych. Czasem klientowi wydaje się, że wyłączył możliwość wykonywania daną kartą transakcji przez internet (np. ze względów bezpieczeństwa, bo do zakupów internetowych ma osobną kartę przedpłaconą), a potem okazuje się, że kartą przez internet można zapłacić, i owszem. Stres jest wówczas niemały, bo jeśli karta ma być odcięta od internetu to dlaczego można nią płacić w sieci?
„Korzystam z serwisu VOD Netflix. Za usługę płaciłem kartą debetową mBanku podając na stronie uslugodawcy jej dane. Pieniądze z karty zostały pobrane, serwis działa. Wszystko byłoby w porządku, gdyby nie jeden szczegół: karta ma ustawiony limit zero złotych na transakcje internetowe, telefoniczne i korespondencyjne, zaś obciążenie jest oznaczone jako „zakup przy użyciu karty, Amsterdam”
– pisze pan Jakub. Złożył reklamację transakcji przez telefon, ale dowiedział się, że system banku nie ma wpływu na to jakiego rodzaju zapytanie autoryzacyjne złoży internetowy akceptant. Zapewne z podobnych przyczyn, jak opisane w poprzednim przypadku (by klienci, którzy domyślnie mają ustawioną blokadę na transakcje internetowe), Netflix skonfigurował płatność tak, by można było ją przeprowadzić każdą kartą, także tą odciętą od możliwości kupowania przez internet.
„Zdaję sobie sprawę, że moja reklamacja jest tylko „sztuką dla sztuki”, w gruncie rzeczy – czystym pieniactwem. Jednak – czy to na pewno powinno tak wyglądać, że limity transakcyjne, 3d secure, wszystkie zabezpieczenia są tylko dekoracją? A tak naprawdę, bank realizuje obciążenie bez względu na wszystko?”
Pan Jakub kilkakrotnie zadawał na czacie banku pytanie „Czy mogę skonfigurować kartę tak, aby uniemożliwić jakąkolwiek płatność bez fizycznej obecności karty w terminalu” – i za każdym razem otrzymywał odpowiedź „Tak, wystarczy ustawić limity na transakcje internetowe i korespondencyjne”
Czytaj też: Zapłacił za zakupy przez internet 400 zł. Sklep nie zażądał żadnej autoryzacji! Czy to jakiś żart?
W tym przypadku mBank – choć nie bez pewnych opóźnień – zaproponował klientowi tymczasowy zwrot pieniędzy i złożenie reklamacji w procedurze chargeback jeśli nie jest zadowolony z usługi lub też odstąpił od jej zakupu. Oczywiście pan Tomasz nie chciał nic anulować, tylko poczuł, że jego karta nie jest tak bezpieczna jak myślał, że jest.
Czytając moje teksty kilkakrotnie natknął się na rady dotyczące ustawainia limitów internetowych na zero (lub na niskie kwoty), czy pochwały dotyczące systemu 3D Secure. Tymczasem – jak zauważa czytelnik – wszystkie te zabezpieczenia działają tylko opcjonalnie. Tym ważniejsze jest, by w sytuacjach spornych bank stanął zawsze po stronie klienta, a przedtem wytłumaczył mu wszystko i żeby mówił do klienta po ludzku.
Czytaj: Tak działa 3D Secure. Pogarsza wygodę, poprawia bezpieczeństwo
obrazek tytułowy: stevepb/Pixabay.com
