Banki mają czas do końca stycznia na wzmocnienie zabezpieczeń transakcji kartowych wykonywanych w internecie. Na rynku pojawiła się właśnie karta z dynamicznym kodem CVC, która utrudni złodziejom dokonywanie transakcji skradzionymi danymi.
Komisja Nadzoru Finansowego dała bankom czas do końca stycznia na wzmocnienie zabezpieczeń stosowanych przy transakcjach kartowych w internecie. To efekt dostosowania naszych przepisów do wytycznych Europejskiego Banku Centralnego (EBC) wyrażonych w "Rekomendacjach dotyczących bezpieczeństwa płatności internetowych". Z dokumentu wynika, że płatności kartą powinny być zabezpieczone silnym uwierzytelnianiem klienta. Takie wymogi spełnia na przykład dwuskładnikowa usługa zabezpieczania transakcji kartowej kryjąca się pod nazwą 3D Secure.
Najwięcej kradzieży jest w internecie
Problem transakcji internetowych na skradzione z kart dane wcale nie jest błahy. Z danych Europejskiego Banku Centralnego wynika, że odsetek "fraudów" na kartach najmocniej rośnie właśnie w tej kategorii. W 2012 roku (nowszych danych nie podano) kradzieże środków z kart bez fizycznego użycia plastików, czyli tzw. transakcje "card not present" odpowiadały za 60 proc. wszystkich kradzieży kartowych na monitorowanych europejskich rynkach. Szczegóły można zobaczyć na poniższym wykresie:
Źródło: EBC
Pola oznaczone kolorem niebieskim określają procentowy udział kradzieży kartami z bankomatów. Pole czerwone to transakcje "CNP" czyli bez fizycznego udziału karty. Kolorem zielonym oznaczono transakcje POS (więcej informacji TUTAJ).
Wystarczy zdjęcie karty
Żeby dokonać płatności kartą w internecie, potrzebny jest numer karty, nazwisko posiadacza, data ważności (te dane znajdują się na awersie) i trzycyfrowy kod CVC/CVC (umieszczony na rewersie). Kradzież takich danych obecnie nie nastręcza złodziejom trudności. Na dobrą sprawę wystarczy na chwilę dostać kartę w swoje ręce, by zrobić zdjęcie. Niedawno media nagłaśniały sprawę kelnerów z jednej z restauracji, którzy w ten sposób zbierali dane z kart. Mówiono też o jednej z sieci handlowych, której pracownicy pozyskiwali te dane z kamer monitoringu zamieszczanych nad kasą.
Z tych właśnie względów KNF chce, by banki wprowadziły dodatkowe zabezpieczenia. Jeśli nie zrobią tego w terminie, nie powinny obciążać ryzykiem za nieuprawnione transakcje swoich klientów. Jednym z pomysłów jest wprowadzenie zabezpieczenia 3D Secure, które wymaga dodatkowego kodu przy dokonywaniu transakcji kartą w sieci. Kod jest wysyłany SMS-em, więc z punktu widzenia użytkownika transakcja wygląda podobnie, jak wykonanie przelewu.
Karta z dynamicznym kodem CVC/CVV
Inne rozwiązanie zaprezentowała właśnie firma Oberthur Technologies. To firma, która zajmuje się personalizacją kart płatniczych. Czytelnicy PRNews.pl mogą pamiętać moją relację z wizyty w siedzibie niedostępnej dla innych mediów, w której opisywałem różne ciekawe karty przygotowane przez Oberthur. To tu powstały m.in. karty z wyświetlaczem i Visa Simply One Getin Banku czy karta w kształcie głowy lwa Lions Banku.
Kolejny pomysł to karta płatnicza z dynamicznym kodem CVC/CVV. Kod zmienia się co godzinę, więc złodziej, który przechwyci dane z karty, będzie miał bardzo mało czasu na dokonanie fałszywej transakcji. Statystyki, które udostępniła mi firma Oberthur, pokazują, że danymi skradzionymi ze zwykłej karty złodzieje dokonują transakcji nawet przez 30 dni. Niektórzy klienci orientują się, że zostali okradzeni dopiero, gdy analizują miesięczny wyciąg z karty.
Zasadę działania karty objaśnia Mirosław Kulpa, specjalista do spraw kart płatniczych w Oberthur Technologies: "Karta z dynamicznym kodem CVC/CVV podczas robienia zakupów w Internecie z punktu widzenia użytkownika nie różni się niczym od obecnych kart ze statycznym kodem CVC/CVV. Użytkownik w odpowiednich rubrykach formularza internetowego wpisuje wymagane dane wraz z kodem, który aktualnie jest pokazywany na wyświetlaczu. Różnica w traktowaniu tych danych leży na poziomie serwera autoryzującego takie transakcje po stronie banku lub agenta rozliczeniowego/procesora. Tam karta (zwykle po numerze) rozpoznawana jest jako karta ze zmiennym kodem i jej dane przekierowane są do dodatkowej autoryzacji poprzez odpowiednie oprogramowanie potrafiące zweryfikować poprawność kodu dynamicznego. Po poprawnej weryfikacji odpowiedź akceptująca transakcję wraca do sklepu internetowego identycznym kanałem jak do tej pory.
Karty te chronią przez transakcjami typu CNP ("card not present"), gdy dane statyczne z karty po ich przechwyceniu wykorzystywane są do wykonania transakcji oszukańczych w sklepach internetowych. Ze względu na bardzo ograniczony czas ważności kodu CVC/CVV karty ze zmiennym kodem nie są atrakcyjne dla przestępców do prób typu CNP, które stanowią obecnie spory odsetek oszustw (dane w prezentacji). Tym samym karta odpowiada na zapotrzebowanie na prosty i intuicyjny w użyciu produkt przeciwdziałający takim oszustwom."
Zasadniczym problemem w przypadku 3D Secure są koszty i konieczność wprowadzenia zmian do infrastruktury banku. W porównaniu do karty z dynamicznym kodem, 3D Secure jest bardziej skomplikowane. Z drugiej strony, karta z kodem CVC nie jest do końca alternatywą dla 3D Secure, a raczej uzupełnieniem oferty o prostsze rozwiązanie. Z informacji, które uzyskałem od Oberthur Technologies wynika, że banki zainteresowały się nowym plastikiem - rozpatrują tę kartę jako użyteczne narzędzie w np. dedykowanej linii produktów dla "internautów".
