Fakty i mity na temat kart zbliżeniowych

analityk Bankier.pl

Karty zbliżeniowe na dobre zadomowiły się w naszych portfelach. Z danych Narodowego Banku Polskiego wynika, że na koniec I kwartału 2016 r. mieliśmy blisko 30 mln plastików tego typu, co stanowi prawie 84 proc. wszystkich kart znajdujących się w obiegu.

Przez ostatnie kilka lat wokół kart zbliżeniowych narosło jednak nieco mitów i niedopowiedzeń. Po części jest to wina banków, które zaczęły wydawać karty zbliżeniowe na siłę, bez odpowiedniej kampanii edukacyjnej. W międzyczasie w mediach pojawiały się informacje o tym, że karty są niebezpieczne i można za ich pomocą wyczyścić klientowi konto. Spróbujmy uporządkować wiedzę na temat zbliżeniówek i rozwiać najczęściej pojawiające się mity.

(multivu.prnewswire.com/mnr/mastercard/30820/)

Nie musisz mieć karty z funkcją zbliżeniową. Dziś większość banków wydaje klientowi kartę zbliżeniową jako podstawową kartę do obsługi konta. Nie oznacza to jednak, że jesteś skazany na zbliżeniówkę. Jeśli chcesz, by twoja karta miała nieaktywną funkcję bezstykową, wystarczy zgłosić ten fakt do banku. Pamiętaj jednak, że zazwyczaj ten proces jest nieodwracalny. Jeśli się rozmyślisz, będziesz musiał złożyć wniosek o nowy plastik. Warto wiedzieć, że bank który nie zablokuje na twoją prośbę opcji zbliżeniowej, będzie odpowiadał za wszystkie nieautoryzowane transakcje wykonane kartą.

Złodziej nie wyczyści ci konta skradzioną kartą. Transakcje do kwoty 50 zł nie wymagają podawania kodu PIN. Pojawia się więc ryzyko, że gdy karta trafi w ręce złodzieja, stracimy wszystkie oszczędności. I rzeczywiście – złodziej może wykonać kilka transakcji za pomocą karty, które obciążą twoje konto. Jednak zgodnie z obowiązującymi obecnie przepisami, klient odpowiada za nieautoryzowane transakcje wykonane kartą zbliżeniową tylko do kwoty 50 euro. Powyżej tej kwoty odpowiedzialność spada na bank. Oznacza to, że maksymalnie możesz stracić około 200 zł.  

Dla porównania - jeśli złodziej skradnie ci kartę płatniczą i wykona nią zwykłą transakcję w internecie, będziesz odpowiedzialny do kwoty 150 euro, czyli około 600 zł. Dopiero powyżej tego pułapu odpowiedzialność przejmuje bank. Do przeprowadzenia transakcji internetowej nadal w niektórych bankach wystarczą tylko dane znajdujące się na karcie – numer, data ważności i kod CVC. Z danych Europejskiego Banku Centralnego wynika, że w 2015 roku kradzieże środków z kart bez fizycznego użycia plastików, czyli tzw. transakcje "card not present" stanowiły aż 66 proc. wszystkich kradzieży kartowych na monitorowanych europejskich rynkach. To właśnie w transakcjach internetowych lubują się najbardziej złodzieje.  

Pamiętaj też, że karta zbliżeniowa ma ustawione liczniki. Klient może wykonać około 5 transakcji zbliżeniowych bez podawania kodu PIN. Następna, nawet jeśli będzie niskokwotowa, może wymagać wprowadzenia kodu. Po włożeniu karty do terminala POS, czip skomunikuje się z bankiem i odświeży liczniki na karcie. Te 5 transakcji jest umowną granicą, bo banki mogą definiować limity samemu. Może to być tylko 3 płatności, ale równie dobrze i 7.

Haker nie zeskanuje ci karty w autobusie. Jakiś czas temu w mediach pojawiały się informacje na temat tego, że hakerzy mogą chodzić po zatłoczonym autobusie i przytulając się do pasażerów, odczytywać dane z ich kart. Komisja Nadzoru Finansowego poddała tę kwestię szczegółowej analizie. I rzeczywiście za pomocą czytnika można odczytać dane z karty zbliżeniowej. Problem złodzieja polega na tym, że tych danych nie będzie mógł do niczego użyć. To tylko numer karty i data ważności. Brakuje kodu CVC, który niezbędny jest do przeprowadzenia transakcji w Internecie.

Pozyskanych danych też nie da się nanieść na inną kartę, by dokonać transakcji zbliżeniowej w sklepie. Każda transakcja jest bowiem chroniona przez unikalny kod bezpieczeństwa, który nie może zostać ponownie wykorzystany do zrealizowania innych transakcji. Trzeba też pamiętać, że do odczytania informacji karta musiałby się znaleźć bardzo blisko „przenośnego” czytnika. Dodatkowo jeśli w portfelu znajduje się więcej niż jedna karta komunikująca się zbliżeniowo (np. legitymacja, karta miejska) pojawią się zakłócenia.

W swojej analizie Komisja Nadzoru Finansowego przyjrzała się też tzw. atakowi przekaźnikowemu. Do jego przeprowadzenia potrzeba dwóch oszustów. Jeden w autobusie skanuje kartę klienta, drugi w tym samym czasie płaci smartfonem zbliżeniowo w sklepie. Dane pomiędzy aparatami przesyłane są w czasie rzeczywistym. KNF przyznała, że taki atak byłby teoretycznie możliwy do przeprowadzenia w warunkach laboratoryjnych, gdzie nie występują żadne zakłócenia przesłania fal. Złodzieje musieliby się jednak zgrać idealnie w czasie – mieliby na to zaledwie 500 milisekund. Wówczas mogliby skraść z karty kwotę do 50 zł. Nasuwa się pytanie, czy tak zaawansowana akcja logistyczna byłaby dla nich warta zachodu.

Przez kartę zbliżeniową możesz wejść w debet. To prawda. Jeśli masz niewiele środków na koncie, lepiej nie płać zbliżeniowo – część transakcji zostanie rozliczona z opóźnieniem. W tym czasie saldo rachunku może pokazywać nieprawidłową kwotę środków. Dlaczego tak się dzieje? Karty zbliżeniowe mogą być autoryzowane online lub offline. W pierwszym przypadku bank podczas dokonywania transakcji sprawdza, czy na koncie są środki. Jeśli nie ma, nie przepuszcza transakcji. W drugim wierzy karcie „na słowo honoru” i automatycznie zatwierdza płatność. Taka karta połączy się z bankiem dopiero wtedy, gdy dokonasz płatności na kwotę powyżej 50 zł i podasz PIN lub gdy włożysz ją do terminala POS lub bankomatu. Wówczas prześle informacje o liczbie wykonanych transakcji, a bank obciąży twoje konto. W ten sposób możesz wejść na nieplanowany debet.

Kartą zbliżeniową można płacić po jej zastrzeżeniu. Jeśli zgubisz kartę zbliżeniową i szybko zastrzeżesz ją w banku, to i tak jeszcze przez jakiś czas powinieneś sprawdzać na bieżąco transakcje na swoim rachunku. Jeśli twoja karta była autoryzowana offline, ktoś może za jej pomocą wykonać jeszcze kilka drobnych transakcji. Blokada zacznie działać dopiero wtedy, gdy karta połączy się z bankiem i zaktualizuje informacje na czipie. Mówiąc obrazowo, taka karta po prostu nie wie, że jest już zastrzeżona. Połączenie nastąpi dopiero wówczas, gdy ktoś spróbuje zapłacić nią na kwotę wyższą niż 50 zł lub licznik transakcji zbliżeniowych zażąda podania kodu przy transakcji poniżej 50 zł. Jeśli po zastrzeżeniu karty zauważysz, że ktoś wykonał nią transakcje, musisz to zgłosić samodzielnie do banku. Bank odda ci wtedy pieniądze. Jeśli tego nie zgłosisz, bank sam nie wyłapie, że transakcja została przeprowadzona już po zastrzeżeniu. 

Wypłata zbliżeniowa kartą z bankomatu jest bezpieczniejsza. Na naszym rynku działają już bankomaty, w których można wypłacić gotówkę zbliżeniowo. Nie trzeba przy tym wkładać karty do wnętrza maszyny – wystarczy zbliżyć plastik do specjalnie oznaczonego miejsca na bankomacie i podać PIN. Dzięki temu, że karta nie jest wkładana do wnętrza bankomatu, nie jest narażona na tzw. skimming. Czasami oszuści montują na bankomatach specjalne nakładki, które skanują kartę wsuwaną do szczeliny. Później skopiowane z paska informacje nanoszą na czysty kawałek plastiku i dokonują transakcji na konto klienta.

Można nawet zaryzykować stwierdzenie, że pod pewnymi względami korzystanie z kart zbliżeniowych jest bezpieczniejsze. Rzadziej używamy PIN-u, więc jest mniejsze ryzyko, że ktoś go podejrzy. Nie wypuszczamy też karty z rąk, więc mamy pewność, że jej dane (numer czy kod CVC) nie wpadną w niepowołane ręce.

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
5 1 ~Mk

A mnie okradziono ma 440 zł więc nie pociskajcie kitow że max 200 nie ma maxymalnej kwoty

! Odpowiedz
1 5 ~mhm

To może na przyszłość będziesz już wiedział, żeby nie zapisywać PIN na karcie.

! Odpowiedz
1 3 ~Obywatel

Może kogoś zainteresuje informacja o zasięgu czytnika kart zbliżeniowych. Jest mały bardzo mały. Tak mały że kartę trzeba wyjąć z portfela żeby zadziałało. Mam skórzany, w środku kilka plastików, tylko dwie z chipem. Jeden do drzwi, drugi od płatniczej. Ten od drzwi działa nawet gdy portfel jest w torbie. Ten od płatniczej trzeba wyjąć i zbliżyć kilka milimetrów do czytnika... Cip może być tak skonstruowany że nie odpowie na zbyt mocny sygnał, więc jeśli haker chciałby zeskanować karty ludziom mijanym na ulicy, to zwyczajnie się nie uda... Bo będzie miał za silną antenę...

Pokaż cały komentarz ! Odpowiedz
0 2 ~mhm

Teoretycznie dałoby się Ciebie okraść, gdybyś jechał pociągiem z portfelem w kieszeni, a tuż obok sąsiad miałby czytnik przekazujący dane do smartfona wspólnika płacącego w sklepie — ale w praktyce nie jest to coś, czego poważnie należałoby się obawiać.

Aha, a testy z przykładaniem portfela w sklepach też robiłem (kilka kart NFC) — zapłacić się nie udało, choć teoretycznie złodzieje mogliby mieć lepszy sprzęt... no ale: komu by się dla 50 zł chciało...

Pokaż cały komentarz ! Odpowiedz
1 0 ~Aa

Obawiam się, że nie masz racji. Zainstaluj sobie, jeżeli masz w telefonie NFC aplikację do czytania kart. Jest tego pełno na GooglePlay. Zobaczysz, że spokojnie jesteś w stanie zeskanować kartę z portfela włożonego do tylnej kieszeni lub do torebki. Oczywiście problem jest z brakiem CVC (CVV) ale nie wszystkie sklepy (zwłaszcza w stanach) tego wymagają.

Pokaż cały komentarz ! Odpowiedz
0 3 ~myś

Niektóre banki co mają karty tylko online, opierają wyłączenie zbliżeniowości na limitach i tam przywrócenie możliwości płacenia pikaczem jest możliwe.

! Odpowiedz
0 0 ~SAS

Zabrakło informacji że nie wszystkie transakcje zbliżeniowe są wykonywane offline i odwrotnie, nie wszystkie transakcje z użyciem chipu karty są autoryzowane online, a niekiedy może być to istotne

! Odpowiedz
0 0 ~Były_bankowiec

Tak się dzieje w automatach biletowych. Były swego czasu operacje na ponad 6 tys.

! Odpowiedz
2 5 ~2P

Pierwsza informacja w artykule nie znajduje poparcia w faktach. W różnych bankach funkcję zbliżeniową można wyłączać i ponownie włączać na życzenie bez konieczności wymiany karty. To tylko kwestia profesjonalizmu banku. Sugeruję zweryfikować, chociażby w Pekao, kiedyś z żubrem.

! Odpowiedz
7 0 ~mwa

"Transakcje do kwoty 50 zł nie wymagają podawania kodu PIN."
Niedawno w Szwajcarii kupowałem bilet za 24 franki, płaciłem zbliżeniowo i nie musiałem podawać Pinu.

! Odpowiedz
Polecane
Najnowsze
Popularne