Płatności kartami zbliżeniowymi pod lupą KNF

Poziom bezpieczeństwa płatności zbliżeniowych jest podobny jak tradycyjnych - ocenia Komisja Nadzoru Finansowego. Mimo to zaleca bankom uszczelnienie systemu
Wzięcie pod lupę bezpieczeństwa płatności zbliżeniowych to efekt m.in. naszych tekstów. Opisywaliśmy w nich dziury w systemie, które pozwalały złodziejom obejść dzienne limity transakcji bezstykowych. Dzięki nim możliwe było zrobienie zakupów na konto okradzionej osoby nawet na kilka tysięcy złotych. Jak to możliwe?

Zwykle limit transakcji zbliżeniowych ustawiony jest na 200-300 zł i trzy-pięć transakcji. Po przekroczeniu limitu każda kolejna płatność wymaga podania PIN-u. Jak ustaliliśmy, limity da się ominąć, bo transakcje zbliżeniowe bywają zatwierdzane offline, czyli bez kontaktu z bankiem. To oznacza, że w chwili dokonywania zakupów bank nie wie, czy na koncie są jakieś pieniądze i czy nie zostały przekroczone limity dzienne liczby i wartości transakcji.

Banki mogą dowiedzieć się o takim hurtowym użyciu karty dopiero wtedy, gdy ktoś dokona transakcji z użyciem kodu PIN, a więc gdy terminal połączy się z bankiem. Dopiero wtedy karta może zostać zablokowana.

Wiele do życzenia pozostawia też proces reklamacyjny. Nasi czytelnicy skarżyli się, że banki nie chcą zwracać pieniędzy, a klientom trudno udowodnić, że to nie oni płacili, bo przecież nie musieli wklepać PIN-u ani podpisać się na wydruku. A to brak konieczności podawania PIN-u przy płatnościach do 50 zł ma być główną atrakcją takich kart.

Po naszych artykułach banki odbijały piłeczkę, twierdząc, że liczba nieuprawnionych transakcji dokonanych kartami bezstykowymi jest marginalna. Jednak NBP problemu nie zbagatelizował i postanowił wypunktować realne zagrożenia. Ma się tym zająć powołana właśnie specjalna grupa robocza, która zaraz po wakacjach przedstawi rekomendacje dla banków. Może podeprzeć się raportami, które na temat bezpieczeństwa płatności zbliżeniowych przygotowały już KNF i Związek Banków Polskich.

Z analizy KNF wynika, że poziom ryzyka związanego z korzystaniem z kart zbliżeniowych nie odbiega od tego, na jaki narażone są tradycyjne płatności, a więc wymagające np. przeciągnięcia karty przez terminal.

Komisja podkreśla, że pojawienie się kart zbliżeniowych wyeliminowało ryzyko skopiowania kart. Jest to możliwe, kiedy stracimy kontakt z kartą, pozwalając sprzedawcy, by oddalił się z naszym plastikiem do innego pomieszczenia. Płacąc "zbliżeniówką" tylko przykładamy kartę do czytnika. Nie wypuszczamy jej z rąk.

To plusy takich płatności, ale Komisja ma też kilka wątpliwości. Zatwierdzanie transakcji w trybie offline może powodować, że możemy wydać więcej, niż mamy w danej chwili na koncie, bo bank dowie się o przekroczeniu salda z opóźnieniem. Komisja uważa, że takie wejście w debet powinno być możliwe tylko za zgodą klienta. Tym samym przeglądu wymaga cała procedura offline'owego zatwierdzania transakcji zbliżeniowych.

KNF uważa, że banki powinny dać klientom wybór. Jeśli ktoś nie chce karty zbliżeniowej, bank powinien zaproponować mu podobną bez tej funkcji. Apeluje też o to, aby klienci mogli decydować, w jaki sposób chcą autoryzować transakcje zbliżeniowe - bez lub z PIN-em. Klient powinien też móc wyłączyć funkcję zbliżeniową oraz samodzielnie określać limity transakcji. Załóżmy, że bank z automatu ustawił dzienny na 300 zł, klient mógłby go zmniejszyć do 100 zł.

To nie wszystkie uwagi KNF. Banki powinny lepiej przyłożyć się do edukowania klientów na temat bezpieczeństwa kart zbliżeniowych, zaś sprzedawców nakłaniać do większej czujności. Podejrzewając, że ktoś posługuje się kartą w nieuprawniony sposób, sprzedawca powinien poprosić klienta o dowód tożsamości.

KNF apeluje też o ułatwianie życia klientom, podając absurdalny przykład, kiedy bank zmusił klienta do sporządzenia oświadczeń o tym, że karta została użyta bez jego zgody oddzielnie dla każdej oszukańczej transakcji.

Więcej o: