Bank centralny oceni, czy karty zbliżeniowe są bezpieczne
Po serii naszych alarmujących tekstów w bank centralny zbada, czy płacenie kartami zbliżeniowymi jest bezpieczne.
Zbliżeniówki to - po kartach z paskiem magnetycznym i czipem - trzecia generacja plastików. Visa podaje, że w Polsce na 21 mln wydanych kart z jej logo 8 mln to właśnie karty bezstykowe. Można nimi zapłacić już w co trzecim sklepie, który akceptuje płatności kartą. Co je wyróżnia? Przy płatnościach do 50 zł nie trzeba podawać PIN-u i wypuszczać karty z rąk. Wystarczy kartę zbliżyć do czytnika. Dzięki temu płacenie może być szybsze, wygodniejsze, ale czy odbywa się to kosztem naszego bezpieczeństwa?
To pytanie stawialiśmy ostatnio na naszych łamach, przytaczając opowieści klientów, którym skradziono karty z funkcją zbliżeniową. Złodzieje w kilkanaście minut wyczyścili konta, dokonując kilkudziesięciu transakcji o niskiej wartości, niewymagających podania kodu PIN.
Jak to możliwe, skoro banki nakładają dzienne limity na transakcje zbliżeniowe? Zwykle limit ustawiony jest na 200-300 zł i trzy-pięć transakcji. Po przekroczeniu limitu każda kolejna transakcja wymaga podania PIN-u.
Okazuje się, że limity da się ominąć dzięki temu, że transakcje zbliżeniowe bywają zatwierdzane w trybie offline, czyli bez kontaktu z bankiem. To oznacza, że w chwili dokonywania zakupów bank, choć obciąża kwotą transakcji posiadacza karty, nie wie, czy na koncie są jakieś pieniądze i czy nie zostały przekroczone limity dzienne liczby i wartości transakcji.
Jak ustaliliśmy banki mogą dowiedzieć się o hurtowym użyciu karty dopiero wtedy, gdy ktoś dokona nią transakcji z użyciem kodu PIN, a więc gdy terminal połączy się z bankiem. Dopiero wtedy karta może zostać zablokowana.
Banki bagatelizują problem, zasłaniając się statystykami. - Liczba nieuprawnionych transakcji dokonanych kartami bezstykowymi jest marginalna - zapewniają.
Inaczej widzi to Narodowy Bank Polski, który po serii tekstów w "Gazecie" postanowił sprawdzić, jak to jest z bezpieczeństwem kart zbliżeniowych. Propozycja przygotowania raportu na temat bezpieczeństwa kart zbliżeniowych padła na ostatnim posiedzeniu Rady ds. Systemu Płatniczego (RSP), który jest ciałem doradczym zarządu NBP. Wnioski mają zostać przedstawione na kolejnym posiedzeniu RSP w czerwcu.
- Eksperci ze Związku Banków Polskich przedstawią pełną analizę rożnych aspektów bezpieczeństwa kart zbliżeniowych, w tym również tych, na które zwracała uwagę "Gazeta" w swoich publikacjach - mówi Mieczysław Groszek, wiceprezes ZBP, organizacji, która jest stałym członkiem RSP.
Co dalej? - Jeśli eksperci znajdą luki w systemie, zapewne Rada zaleci bankom i organizacjom płatniczym pewne zmiany w systemie funkcjonowania kart zbliżeniowych - usłyszeliśmy od osoby z kręgu sprawy.
Nie chodzi jednak tylko o uszczelnienie dziury pozwalającej (dzięki autoryzacji offline) obejść dzienne limity. Dla klientów, którzy padli ofiarami oszustwa, o wiele większym problemem jest proces reklamacyjny. Banki nie chcą zwracać pieniędzy, a klientom trudno udowodnić, że to nie oni płacili, bo przecież nie musieli wklepać PIN-u ani podpisać się na wydruku.
Nasi czytelnicy narzekają też na to, że nie mogą wyłączyć funkcji zbliżeniowej na swoich kartach. Dlaczego? Do tej pory banki zasłaniały się przeszkodami technicznymi i wytycznymi organizacji płatniczych. Klientom, którym karty bezstykowe nie przypadły do gustu, banki proponowały zamówienie tradycyjnej karty na PIN, ale w praktyce nie zawsze klient ma wybór.
Czy to się zmieni? Po naszych publikacjach błyskawicznie zareagował BRE Bank. - Klienci mBanku i MultiBanku mogą zablokować funkcję zbliżeniową na posiadanej karcie za pośrednictwem infolinii - mówi Krzysztof Olszewski, rzecznik BRE Banku, do którego należą obie marki.
Problem w tym, że taka zmiana jest nieodwracalna. - Pozostaje ważna tak długo, jak długo ważna jest konkretna karta płatnicza, której dotyczy blokada - dodaje Olszewski. Żeby znów korzystać z funkcji zbliżeniowej, trzeba wyrobić sobie nową kartę. Nad możliwością wyłączenia funkcji zbliżeniowej pracuje też ING Bank, ale jego klienci będą mogli skorzystać z tej opcji dopiero za kilka miesięcy.
To pytanie stawialiśmy ostatnio na naszych łamach, przytaczając opowieści klientów, którym skradziono karty z funkcją zbliżeniową. Złodzieje w kilkanaście minut wyczyścili konta, dokonując kilkudziesięciu transakcji o niskiej wartości, niewymagających podania kodu PIN.
Jak to możliwe, skoro banki nakładają dzienne limity na transakcje zbliżeniowe? Zwykle limit ustawiony jest na 200-300 zł i trzy-pięć transakcji. Po przekroczeniu limitu każda kolejna transakcja wymaga podania PIN-u.
Okazuje się, że limity da się ominąć dzięki temu, że transakcje zbliżeniowe bywają zatwierdzane w trybie offline, czyli bez kontaktu z bankiem. To oznacza, że w chwili dokonywania zakupów bank, choć obciąża kwotą transakcji posiadacza karty, nie wie, czy na koncie są jakieś pieniądze i czy nie zostały przekroczone limity dzienne liczby i wartości transakcji.
Jak ustaliliśmy banki mogą dowiedzieć się o hurtowym użyciu karty dopiero wtedy, gdy ktoś dokona nią transakcji z użyciem kodu PIN, a więc gdy terminal połączy się z bankiem. Dopiero wtedy karta może zostać zablokowana.
Banki bagatelizują problem, zasłaniając się statystykami. - Liczba nieuprawnionych transakcji dokonanych kartami bezstykowymi jest marginalna - zapewniają.
Inaczej widzi to Narodowy Bank Polski, który po serii tekstów w "Gazecie" postanowił sprawdzić, jak to jest z bezpieczeństwem kart zbliżeniowych. Propozycja przygotowania raportu na temat bezpieczeństwa kart zbliżeniowych padła na ostatnim posiedzeniu Rady ds. Systemu Płatniczego (RSP), który jest ciałem doradczym zarządu NBP. Wnioski mają zostać przedstawione na kolejnym posiedzeniu RSP w czerwcu.
- Eksperci ze Związku Banków Polskich przedstawią pełną analizę rożnych aspektów bezpieczeństwa kart zbliżeniowych, w tym również tych, na które zwracała uwagę "Gazeta" w swoich publikacjach - mówi Mieczysław Groszek, wiceprezes ZBP, organizacji, która jest stałym członkiem RSP.
Co dalej? - Jeśli eksperci znajdą luki w systemie, zapewne Rada zaleci bankom i organizacjom płatniczym pewne zmiany w systemie funkcjonowania kart zbliżeniowych - usłyszeliśmy od osoby z kręgu sprawy.
Nie chodzi jednak tylko o uszczelnienie dziury pozwalającej (dzięki autoryzacji offline) obejść dzienne limity. Dla klientów, którzy padli ofiarami oszustwa, o wiele większym problemem jest proces reklamacyjny. Banki nie chcą zwracać pieniędzy, a klientom trudno udowodnić, że to nie oni płacili, bo przecież nie musieli wklepać PIN-u ani podpisać się na wydruku.
Nasi czytelnicy narzekają też na to, że nie mogą wyłączyć funkcji zbliżeniowej na swoich kartach. Dlaczego? Do tej pory banki zasłaniały się przeszkodami technicznymi i wytycznymi organizacji płatniczych. Klientom, którym karty bezstykowe nie przypadły do gustu, banki proponowały zamówienie tradycyjnej karty na PIN, ale w praktyce nie zawsze klient ma wybór.
Czy to się zmieni? Po naszych publikacjach błyskawicznie zareagował BRE Bank. - Klienci mBanku i MultiBanku mogą zablokować funkcję zbliżeniową na posiadanej karcie za pośrednictwem infolinii - mówi Krzysztof Olszewski, rzecznik BRE Banku, do którego należą obie marki.
Problem w tym, że taka zmiana jest nieodwracalna. - Pozostaje ważna tak długo, jak długo ważna jest konkretna karta płatnicza, której dotyczy blokada - dodaje Olszewski. Żeby znów korzystać z funkcji zbliżeniowej, trzeba wyrobić sobie nową kartę. Nad możliwością wyłączenia funkcji zbliżeniowej pracuje też ING Bank, ale jego klienci będą mogli skorzystać z tej opcji dopiero za kilka miesięcy.
POPULARNE
NAJNOWSZE
-
Tatry. Niezwykle rzadkie zjawisko uchwycone na kamerze. Co to jest pleń?
-
Niemcy ostro o "prowokacjach" Polski i Węgier: UE musi przeczekać lub założyć wspólnotę bez łamiących reguły
-
Tarcza antykryzysowa. Przedsiębiorcy, który skorzystali z rządowej pomocy, powinni spodziewać się kontroli
-
Dlaczego w Polsce ceny rosną najszybciej w UE? Zaskakujące wyjaśnienie. "Objaw siły polskiej gospodarki"
-
Polska na niechlubnym pierwszym miejscu. Produkujemy tyle energii z węgla, co 25 państw UE
- GIS wycofuje olej ryżowy ze sklepów. Jest niebezpieczny dla zdrowia
- Trasa S6 Słupsk - Lębork opóźniona. GDDKiA nie otrzymała na ten cel środków od UE
- USA zamówiły kolejne 100 mln dawek szczepionki na koronawirusa. Wciąż nie zakończono jej testów
- Robert Lewandowski zainwestuje w restaurację na wodzie. We wrześniu rusza budowa kompleksu "Wodny Świat"
- Bon turystyczny. Od kiedy będzie można z niego skorzystać? W teorii niedługo, gorzej z praktyką