27 lutego 2018

Zapłacił kartą 150 zł za obiad w restauracji. Terminal… nie zażądał PIN-u! Bo „tak jest ustawiony”

Mając kartę płatniczą w portfelu jesteśmy przygotowani na to, że jej używanie będzie się wiązało z przestrzeganiem dwóch zasad. Po pierwsze: każda transakcja powyżej 50 zł będzie wymagała podania kodu PIN. Po drugie: jeśli karta działa na zbliżenia to każdego dnia możliwe jest jej kilkukrotne użycie bez podania PIN-u. Ale tylko przy transakcjach poniżej 50 zł. I tylko wtedy, gdy nie wkładamy karty do terminala, a jedynie ją do niego zbliżamy.

Jakież było zdziwienie mojego czytelnika, gdy pewnego pięknego dnia użył swojej karty płatniczej i… nie zadziałała żadna z powyższych zasad! Pan Tomasz płacił w jednej z restauracji – a konkretnie w „Zapiecku” – i choć wartość transakcji wynosiła niemal 150 zł, zaś transakcja była przeprowadzona stykowo (czyli wkładając kartę do terminala), to… terminal w ogóle nie zażądał kodu PIN.

„Składam reklamację w mBanku, który wydał kartę, a oni na to, że „tak ma być, bo to zależy od konfiguracji terminala”. Szczęka mi opadła… Znaczy to, że gdy jakiś złodziejski sklep, klub albo inny lokal ustawi terminale na „brak pytania o PIN”, to wyczyści mi całe konto, gdy karta wpadnie w niepowołane ręce?”

– pisze pan Tomasz. I snuje przypuszczenia, że przecież złodziej kart płatniczych może być w zmowie z takim punktem handlowym i – wiedząc, że żadna transakcja nie będzie wymagała PIN-u – „czyścić” karty klientom. Pan Tomasz poczuł się na tyle nieswojo, że złożył nawet reklamację, która jednak potwierdziła, że w opinii banku nic złego się nie stało.

„Płatność kartą MasterCard Miles&More w punkcie „Polskie Pierogarnie” w wysokości 144,69 zł przebiegła w technologii stykowej. Autoryzacja transakcji przebiegła wyłącznie na podstawie wprowadzenia karty do terminala płatniczego. Konfiguracja terminala płatniczego we wskazanym punkcie nie wymusiła wprowadzenia kodu PIN. To terminal płatniczy jest odpowiedzialny za wywołanie ekranu z prośbą o potwierdzenie płatności”

– napisał klientowi bank. I wyjaśnił, że dopuszcza wykonywanie stykowych transakcji bezgotówkowych kartą bez konieczności potwierdzenia jej za pomocą podpisu lub kodu PIN, gdyż dzięki temu można zapłacić kartą w sytuacjach niestandardowych.

A więc w terminalach które: mają ograniczenia konstrukcyjne (brak klawiatury lub ekranu dotykowego, na którym można byłoby podać PIN, np. automaty vendingowe, czy automatyczne kasy parkingowe), nie wymagają podania kodu PIN (jak np. punkty poboru opłat na autostradach) lub „są błędnie skonfigurowane”.

Czytaj: Chargeback czyli dlaczego wolę płacić duże rachunki kartą, niż przelewem. Jak to działa?

Odwiedź też stronę akcji „O wygodnym płaceniu, czyli niezbędnik nowoczesnego konsumenta”. Tam piszę o wszystkich nowościach ze świata płatności oraz poradniki o bezpiecznym używaniu kart i wyciskaniu z nich maksymalnie dużo korzyści. Zapraszam: kliknij ten link

Czytaj też: Karta służy do płacenia, ale czasem staje się też twoją tarczą obronną Kiedy tak zadziała? Sprawdzam!

To terminal sklepowy „decyduje” czy zażądać podania PIN-u?

Pytanie, które zadał mi klient banku, gdy przeczytał odpowiedź na reklamację, brzmi prosto: „Czy bank zwróci kwoty ściągnięte z karty w przypadku transakcji bez PIN w sytuacji np. utraty karty i wykonannia transakcji w takim terminalu?”. Skoro terminal można sobie „źle skonfigurować” i wtedy da się przyjmować dowolne płatności bez PIN-u, to tak, jak gdyby system był lekko dziurawy…

Nie potrafiłem odpowiedzieć na to pytanie, więc powędrowałem z nim do mBanku, który wydał kartę używaną przez pana Tomasza. I tam potwierdzono mi, że to karta z terminalem „decydują” o metodzie potwierdzenia transakcji. Jeśli terminal nie ma możliwości sprawdzenia PIN-u, to może wybrać podpis lub przeprowadzić operację bez żadnego potwierdzania. Wszystko zależy od tego jak jest skonfigurowany.

Bank tłumaczy, że wymuszanie PIN-u przy każdej transakcji powyżej 50 zł mogłoby spowodować odrzucanie transakcji w niektórych miejscach (np. w automatach parkingowych, czy na bramkach autostradowych), więc bank tego nie robi.

„Oczywiście dzieje się to z wszystkimi konsekwencjami reklamacyjnymi po stronie akceptanta i sprzedawcy. Oznacza to, że w sytuacjach spornych, w których transakcja nie była w żaden sposób zautoryzowana, sprzedawca bierze odpowiedzialność na siebie. To znaczy, że jeśli klient mówi nam, że nigdy nie robił takiej transakcji, a sprzedawca nie ma żadnego dokumentu potwierdzającego transakcje – czytaj podpisu autoryzującego kartę – to sprzedawca odpowiada za tę transakcję a my klientowi zwracamy pieniądze”

– odpowiedział mi bank. Czy to oznacza, że np. mogę zażądać zwrotu pieniędzy w każdym przypadku, gdy płaciłem stykowo, a terminal nie zażądał PIN-u ani podpisu? Nie, bo mogą istnieć inne dowody na to, że taką transakcję przeprowadzono. Np. bramki autostradowe są monitorowane, więc zarządca autostrady z łatwością dowiedzie, że kierowca był tam gdzie był i przeprowadzał płatność.

Jednak – według bankowców – takie ustawienie sytuacji powoduje, że posiadacz karty z jednej strony nie spotka się z odmową przeprowadzenia transakcji, a z drugiej strony jest „kryty” na wypadek, gdyby zdarzyło się, iż ktoś ukradnie mu kartę i wyczyści całe konto. Wówczas punkt, w którym terminal nie zażądał autoryzacji, musi mieć dowody, iż klient reklamujący transakcję nie ma racji.

A gdyby w takim punkcie handlowym odpowiednio „przeszkolony” pracownik ściągał z kont klientów większe kwoty, niż wynikające z faktycznej transakcji? Jeśli terminal nie żąda PIN-u to przecież można byłoby nabić klientowi rachunek na 1500 zł zamiast na 150 zł, prawda? Tu lekarstwem może być wzięcie potwierdzenia transakcji od sprzedawcy, ale co będzie, gdy skończy się papier w drukarce?

„Sytuacja, w której sklep teoretycznie wysyła do banku kwotę większą niż klient faktycznie miał na paragonie, nie jest możliwa. Klient za każdym razem, przy każdej transakcji widzi kwotę, która pójdzie do banku. Jeśli klient widzi kwotę X to nie ma możliwości, aby do banku przyszła kwota obciążenia np. Y”

– odpowiada bank. No i jeszcze na koniec trzeba przypomnieć, że generalnie w przypadku transakcji stykowych (czyli z włożeniem karty do terminala) w najczarniejszym scenariuszu klient może odpowiadać za straty wynikające ze złodziejskich transakcji tylko do kwoty 150 euro. Dzieje się tak w sytuacji, gdy nie zdąży zastrzec karty, a ktoś zacznie nią płacić. No, chyba, że sprzedawca nie może udowodnić żadnej formy zautoryzowania transakcji.

Jak widzicie, karty płatnicze potrafią zaskakiwać. Pisałem jakiś czas temu o funkcji kart, która objawiła się we wrocławskich biletomatach. Otóż można było w nich kupować bilety lub doładowania telefonów komórkowych bez podania PIN-u – zarówno zbliżeniowo, jak i stykowo. W pewnym momencie złodzieje się zorientowali i… bywało, że klienci tracili po kilkaset złotych.

Czytaj też: Czy kartą z wyłączonymi zbliżeniami można płacić bez PIN-u? Tak, w biletomacie. Klientka straciła 400 zł

Czytaj też: Koniec ery PIN-ów? Czy transakcje kartowe będziemy zatwierdzali biometrycznie?

Kupił abonament w Netfliksie i dowiedział się, że… byl w Amsterdamie

Konfiguracja terminali oraz e-terminali czasem bywa dziwna także przy transakcjach internetowych. Czasem klientowi wydaje się, że wyłączył możliwość wykonywania daną kartą transakcji przez internet (np. ze względów bezpieczeństwa, bo do zakupów internetowych ma osobną kartę przedpłaconą), a potem okazuje się, że kartą przez internet można zapłacić, i owszem. Stres jest wówczas niemały, bo jeśli karta ma być odcięta od internetu to dlaczego można nią płacić w sieci?

„Korzystam z serwisu VOD Netflix. Za usługę płaciłem kartą debetową mBanku podając na stronie uslugodawcy jej dane. Pieniądze z karty zostały pobrane, serwis działa. Wszystko byłoby w porządku, gdyby nie jeden szczegół: karta ma ustawiony limit zero złotych na transakcje internetowe, telefoniczne i korespondencyjne, zaś obciążenie jest oznaczone jako „zakup przy użyciu karty, Amsterdam”

– pisze pan Jakub. Złożył reklamację transakcji przez telefon, ale dowiedział się, że system banku nie ma wpływu na to jakiego rodzaju zapytanie autoryzacyjne złoży internetowy akceptant. Zapewne z podobnych przyczyn, jak opisane w poprzednim przypadku (by klienci, którzy domyślnie mają ustawioną blokadę na transakcje internetowe), Netflix skonfigurował płatność tak, by można było ją przeprowadzić każdą kartą, także tą odciętą od możliwości kupowania przez internet.

„Zdaję sobie sprawę, że moja reklamacja jest tylko „sztuką dla sztuki”, w gruncie rzeczy – czystym pieniactwem. Jednak – czy to na pewno powinno tak wyglądać, że limity transakcyjne, 3d secure, wszystkie zabezpieczenia są tylko dekoracją? A tak naprawdę, bank realizuje obciążenie bez względu na wszystko?”

Pan Jakub kilkakrotnie zadawał na czacie banku pytanie „Czy mogę skonfigurować kartę tak, aby uniemożliwić jakąkolwiek płatność bez fizycznej obecności karty w terminalu” – i za każdym razem otrzymywał odpowiedź „Tak, wystarczy ustawić limity na transakcje internetowe i korespondencyjne”

Czytaj też: Czytelnik alarmuje, że w jego karcie nie da się ustawić limitu dla transakcji internetowych. Czy to niebezpieczne? Sprawdzam!

Czytaj też: Zapłacił za zakupy przez internet 400 zł. Sklep nie zażądał żadnej autoryzacji! Czy to jakiś żart?

W tym przypadku mBank – choć nie bez pewnych opóźnień – zaproponował klientowi tymczasowy zwrot pieniędzy i złożenie reklamacji w procedurze chargeback jeśli nie jest zadowolony z usługi lub też odstąpił od jej zakupu. Oczywiście pan Tomasz nie chciał nic anulować, tylko poczuł, że jego karta nie jest tak bezpieczna jak myślał, że jest.

Czytając moje teksty kilkakrotnie natknął się na rady dotyczące ustawainia limitów internetowych na zero (lub na niskie kwoty), czy pochwały dotyczące systemu 3D Secure. Tymczasem – jak zauważa czytelnik – wszystkie te zabezpieczenia działają tylko opcjonalnie. Tym ważniejsze jest, by w sytuacjach spornych bank stanął zawsze po stronie klienta, a przedtem wytłumaczył mu wszystko i żeby mówił do klienta po ludzku.

Czytaj: Tak działa 3D Secure. Pogarsza wygodę, poprawia bezpieczeństwo

obrazek tytułowy: stevepb/Pixabay.com

 

12
Dodaj komentarz

avatar
12 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
12 Comment authors
marcinek-mGrzesiekMarekPppArek Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Nerkofil
Gość
Nerkofil

A teraz pytanie:
Kto konfiguruje terminal?
Kto ZLECA jego taką, a nie inną konfigurację?

Czy to nie bank oraz jego kontrahent, czyli nasz sprzedawca „działając wspólnie i w porozumieniu” dopuszczają celowo do ominięcie zastosowanych przez klienta zabezpieczeń, w celu osiągnięcia korzyści materialnych?

W kodeksie karnym tak definiowane jest kradzież z włamaniem…

Robert
Gość
Robert

Otóż nie, ostatnio płaciłem kartą wydaną poza Polską i system dokonał automatycznego przeliczenia (sławetne, znienawidzone DCC) bez żadnego pytania o cokolwiek. W związku z tym na POS widziałem jedną kwotę, a system obciążył mnie inna kwotą… jednocześnie potwierdzenie z terminala było w języku kraju wystawcy karty 🙂 Na szczęście zauważyłem, reklamowałem i … musiałem użyć polskiej karty.

zgryźliwy_tetris
Gość
zgryźliwy_tetris

Co państwo tak hejtujecie gotówkę? Gotówka ma mnóstwo zalet.

Sparky
Gość
Sparky

Jak byłem w Australii, to o wiele większe kwoty terminal autoryzował bez PINu. Moje zdumienie o obawy wywoływały po stronie Australijczyków jeszcze większe zdumienie. Na pytanie: czemu to nie jest lepiej zabezpieczone, odpowiadali: a czemu musi być zabezpieczone, przecież nikt nie zrobi tu nikomu przekrętu.
Ot, taka mentalność 🙂

Esselite
Gość
Esselite

Terminal nie powinien być ustawiony dowolnie, tylko zgodnie z kategorią mcc. Jeżeli to restauracja, to nie jest wtedy vending, ani autostrada i ma być pin. Reklamacja powinna pójść do acquirera, bo on zarządza wstawianymi terminalami.
Nie zgadzam się, że zwrot środków przed czymkolwiek chroni, bo do czasu kiedy bank rozpatrzy reklamację klient jest bez środków do życia. Co za bzdurna odpowiedz. Po to się trzyma pieniądze w banku, żeby je zabezpieczyć przed kradzieżą.

Luke
Gość
Luke

mBank stanie po stronie klienta??? Przecież nawet reklamacji nie potrafią odczytać.

zed
Gość
zed

sami specjaliści… prawda jest taka ze jeśli karta ma na swoim cvm pin wyżej niż podpis a terminal puszcza płatności bez pin to odpowiedzialność za tą transakcję spoczywa na acquierze. Bank nie ma wpływu na wybór metody autoryzacji przez sprzedawcę bo ta jest ustawiona w terminalu – a terminal konfiguruje acquirer. Dalej to już tylko kwestia odpowiedzialności za takie ustawienie temrinala (regulacje organizacji kartowych nt. autoryzacji, floor limitów, metod autentykacji, liability shift itp.)

Arek
Gość
Arek

Tym, którzy cenią sobie spokojny sen ponad wygodę, polecam BLIK. Tam samemu ustawia się limity transakcji bez PIN-u. A kod PIN wpisuje się na własnym telefonie, więc argument, że terminal nie miał klawiatury nie przejdzie.

Ppp
Gość
Ppp

A z gotówką takich cyrków nie ma.
Pozdrawiam.

Marek
Gość
Marek

To ja proponuję pojechać do USA. Tam większość terminali jest na pasek magnetyczny, a jak się trafi na chip to i tak nie wola o pin! Jedynie bankomat zawołał.. Inna sprawa jest ze restauracje najpierw przeciągają kartę, oddają a pozniej dopiero wbija kwotę bo klient pisze na paragonie ile daje napiwku. I co? W razie problemów dzwoni się do banku i podobno biorą na siebie bez problemu. .

Grzesiek
Gość
Grzesiek

Usługodawca taka ma umowę do dostawcą terminala. To on bierze na siebie ryzyko że w razie reklamacji transakcji nie potwierdzał jej niczym i musi oddać kasę. Poza tym- pomyślcie- złodzieje chcą dostać nasze pieniądze, kupić coś co można łatwo sprzedać a nie iść się najeść

marcinek-m
Gość
marcinek-m

A jakie jest uzasadnienie, żeby terminal w restauracji nie wymagał PIN-u? A w czym problem, aby na bramkach autostradowych była klawiatura do wpisania PIN-u? Jeszcze mamy viaTOLL i Amber GoLD! 🙂

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss