Tego nie wiedziałeś o płatnościach zbliżeniowych - nieznane fakty

Zasada działania karty zbliżeniowej jest bardzo prosta. Karta taka wykorzystuje indukcję elektromagnetyczną. Dzięki temu jeśli karta zostanie zbliżona do terminala na odległość 5 cm lub mniejszą, cewka znajdująca się w czytniku pobudzi cewkę karty, tym samym zasilając wbudowany w kartę układ RFID pracujący w standardzie NFC. Układ ten moduluje sygnał wysyłany przez kartę i za jego pomocą wysyła do terminalu sygnał zawierający dane niezbędne do wykonania transakcji. Są to numer karty, data jej ważności oraz kod dynamiczny służący do autoryzacji transakcji zbliżeniowych. Warto pamiętać o tym, że karty zbliżeniowe to nie tylko karty płatnicze. Służą też on jako bilety komunikacji miejskiej, legitymacje studenckie, karty parkingowe, identyfikatory oraz przepustki. Jeśli chcecie dowiedzieć się więcej o budowie kart zbliżeniowych, powinniście zaznajomić się z rodziną standardów ISO/IEC 14443 oraz normą ISO 15693. To właśnie w oparciu o ten normy są budowane wszystkie nowe rozwiązania.

Zalety wynikające z korzystania karty płatniczej to przede wszystkim szybkość płatności. W przypadku mniejszych zakupów nie trzeba tu nawet wpisywać PINu, przez co płatność trwa dosłownie chwilę, maksymalnie kilka sekund, jeśli transakcja jest autoryzowana online przez bank. Oprócz tego karty takie mogą pełnić kilka ze wszystkich wymienionych wcześniej funkcji. Przykładem takiego rozwiązania jest karta CitiBanku, która jest jednocześnie kartą miejską z elektronicznym biletem oraz właśnie kartą płatniczą. Również Bank Zachodni WBK wspólnie z MasterCard wprowadził niedawno wielofunkcyjne elektroniczne legitymacje studenckie wyposażone w funkcję płatniczą. Smartcards – bo o tym rozwiązaniu mowa – na początku roku akademickiego trafią do rąk 50 tys. polskich studentów, którym będą służyć jako połączenie legitymacji, zbliżeniowej karty płatniczej, karty miejskiej, a także umożliwią dostęp do uczelnianych bibliotek i innych pomieszczeń na kampusach.

Bardzo ważne jest też, że płatności bezstykowe, jak sama nazwa wskazuje, nie wymagają dotykania żadnego elementu czytnika. Z tego powodu są one mniej narażone na uszkodzenia mechaniczne niż ich odpowiedniki wyposażone jedynie w chip i pasek magnetyczny.

Wielu osobom płatności zbliżeniowe kojarzą się wyłącznie z kartami płatniczymi. Niesłusznie! Orange oraz T-Mobile umożliwiają swoim klientom posiadającym wybrane modele telefonów z modułami NFC. By skorzystać z płatności zbliżeniowych niezbędne jest też otrzymanie specjalnej karty SIM, która będzie współpracować z aplikacją wirtualnego portfela. Jeśli mamy wszystkie wymienione tu elementy, można swobodnie zacząć płacić za pomocą swojego telefonu. W dodatku wiele firm decyduje się na oferowanie swoim klientom bardziej poręcznych i trudniejszych do zgubienia gadżetów umożliwiających płatności zbliżeniowe. Jednym z najciekawszych z nich jest bransoletka lub zegarek z wbudowanym chipem zbliżeniowym.

Sam się zastanawiam nad zakupem takiego urządzenia, ponieważ średnio raz na rok gubię kartę płatniczą, co prowadzi do wstydu w sklepie i panicznego szukania komputera w celu zastrzeżenia mojego kawałka plastiku. Przyczepiona do ręki bransoletka sprawiłaby, że zgubienie środka płatniczego byłoby o wiele trudniejsze. Z kolei naklejka zbliżeniowa pozwoli przekształcić dowolną rzecz, chociażby bardzo stary telefon, w gadżet zbliżeniowy. Dosyć kontrowersyjnym, ale też nowatorskim pomysłem jest wprowadzenie breloków zbliżeniowych o wyglądzie atrakcyjnym dla dzieci lub nawet umieszczanie ich w pluszowych zabawkach. W ten sposób możliwe jest łatwe nauczenie dziecka zarządzania swoimi finansami. Na użycie takiego rozwiązania zdecydowało się między innymi PKO BP.

Ponad rok temu osobiście doświadczyłem takiej sytuacji. Dwa lata temu, podczas wielu małych zakupów wydałem wszystkie pieniądze, jakie miałem na jednej ze swoich kart i… absolutnie o tym zapomniałem. Kilka dni później przed wyjściem na obiad sprawdziłem, czy powinienem sobie przelać dodatkowe środki – okazało się, że nie. Zjadłem, zapłaciłem, wróciłem do domu i oczekując na należności z różnych miejsc pracy postanowiłem sprawdzić konto. Tam zobaczyłem, że… mam debet na zwykłej karcie płatniczej. W dodatku debet niedozwolony,  a więc wysoko oprocentowany.

Wówczas od razu sobie przypomniałem o sobotnim wypadzie do miasta, kupionej książce, kompakcie i codziennych zakupach w sklepie spożywczym. Wszystkie te rzeczy zostały zdjęte z mojej karty dopiero po 5 dniach. Jest to ekstremalna sytuacja, ale może się zdarzyć każdemu. Wszystko dlatego, że część transakcji zbliżeniowych to transakcje offline. Wówczas płatność jest szybsza, jednak terminal nie łączy się z bankiem i nie sprawdza, czy mamy jeszcze środki na koncie. Pieniądze są wówczas rozliczane raz na jakiś czas, zazwyczaj na koniec dnia.

Rozwiązanie to jest przydatne, w przypadku nieprzewidzianych problemów technicznych . Wówczas nie musimy długo czekać na nawiązanie jej lub nawet szukać gotówki. Po prostu nie martwimy się tym, ponieważ terminal sam wykona płatność, gdy będzie miał taką możliwość lub gdy zostanie podłączony do sieci. Mimo wszystko w trosce o swoich klientów wiele banków zdecydowało się na niemal całościowe przejście na płatności online. Dodatkowo niektóre banki oferują możliwość wyłączenia płatności offline. Niestety możliwość taka zależy od rodzaju posiadanej karty, konta i kilku innych czynników, dlatego osoby zamierzające skorzystać z takiej możliwości powinny skontaktować się ze swoim bankiem i upewnić się, czy jest to możliwe w ich przypadku.

Wiele osób korzystających lub mających zacząć korzystać z płatności zbliżeniowych obawia się tego, że łatwość płatności taką kartą przekłada się na łatwość kradzieży z niej naszych pieniędzy. Nie jest to jednak prawda. Udowadniają to przeprowadzone przez Narodowy Bank Polski badania. Według nich w I półroczu poprzedniego roku tylko 28,9%  nieuczciwych transakcji dotyczyło kart sfałszowanych zaś 6,6 % kart zgubionych. A właśnie tych zdarzeń najbardziej obawiają się użytkownicy kart obsługujących płatności zbliżeniowe.

Na początku omówmy możliwość zgubienia karty. Tutaj wiele osób martwi się tym, że ktoś może użyć jego karty do kilkurazowego wydania kwoty mniejszej niż 50 zł. Jest to znaczny problem, ponieważ przez częste wykorzystywanie terminali działających w trybie offline możliwe jest przekroczenie limitów na transakcje zbliżeniowe. Warto wspomnieć o konieczności zastrzeżenia takiej karty. Gdy to zrobimy, całą odpowiedzialność za transakcje wykonane taka kartą przejmie bank.

Niestety przed zastrzeżeniem odpowiadamy za pierwsze  wydane 50 euro, chyba że… ubezpieczymy kartę, wówczas kwotę tę pokryje nasz ubezpieczyciel. Większość banków twierdzi też, że jeśli z analizy wynika, że transakcje są oszukańcze i doszło do nich nie z winy klienta – refunduje zwykle całość w ten sposób skradzionych środków. Sam zalecam skorzystanie z opcji zabezpieczenia karty nie tylko ze względu na płatności zbliżeniowe. 43% wszystkich oszukańczych transakcji stanowią bowiem fałszywe płatności w Internecie, do których nie trzeba używać chipu zbliżeniowego, a samą kartę płatniczą lub nawet jej zdjęcie.

Oznacza to, że na najpopularniejszy sposób kradzieży są narażone wszystkie rodzaje kart – zarówno z chipem zbliżeniowym, jak też pozbawione go modele. Wykorzystuje się tam nie samą kartę, a znajdujące się na niej dane. W dodatku robiąc zakupy przez Internet można praktycznie bez autoryzacji wydać nie 50, a kilka tysięcy złotych, choć obecnie większość transakcji w internecie jest dodatkowo zabezpieczana kodem CVC2 lub SecureCode. Z ubezpieczenia warto skorzystać tym bardziej, że kosztuje ono naprawdę niewiele – nie więcej niż trzy złote miesięcznie.

Dwa lata temu Kristin Paget w trakcie konferencji Shmocoon zaprezentowała proces kopiowania zbliżeniowej karty płatniczej. Do tego celu potrzebny był czytnik RFID oraz programator elektromagnetyczny. Dzięki tym wartym wówczas 350 dol. przedmiotom możliwe okazało się odczytanie z karty płatniczej ofiary wszystkich danych niezbędnych do wykonania płatności za pomocą takiej karty. Konkretnie chodzi tu o numer karty, jej datę ważności oraz kod dynamiczny służący do autoryzacji transakcji zbliżeniowej. W ten sposób zdobyte dane nie wystarczą jednak do wyrządzenia znaczących szkód.

Rzecz w tym, że zdobyty w ten sposób kod  jest jednorazowy i przez to umożliwia wykonanie tylko jednej transakcji, w dodatku tylko do ustalonej przez nas kwoty, do której nie musimy podawać PINu, a która najczęściej wynosi 50 zł. W dodatku, w przypadku takiej kradzieży pieniądze zostaną nam zwrócone przez bank. Nie ma możliwości skopiowania kodu PIN karty, gdyż ten jest przechowywany w bezpiecznej pamięci karty i nie można go przewidzieć, tak samo jak zapisanego na karcie kodu CVC2. Jedyną możliwością skopiowania tego ostatniego jest przepisanie go lub zrobienie karcie zdjęcia.

Teoretycznie,  osoba wyposażona w odpowiednie narzędzia może stanąć w popularnym, często uczęszczanym miejscu i automatycznie klonować karty wszystkich przechodzących obok osób. W ten sposób może uzyskać część danych z wielu kart, z których, w „najlepszym“ razie i przy ogromnym wysiłku logistycznym będzie mógł skorzystać maksymalnie raz. Maksymalnie, bo jeśli osoba, której karta zostanie zeskanowana, wykona dowolną transakcję, kod dynamiczny się zmieni. Stanie się tak, ponieważ jest on wyliczony na podstawie bazy danych dynamicznych otrzymanych od terminala. Z kolei złodziej nie może przewidzieć, jakie wartości będą miały wspomniane dane.

Zdalne złamanie kodu kryptogramu transakcji PayPass uznaje się za wykraczające poza aktualne moce obliczeniowe. Obliczenia takie stosują potrójny algorytm DES wraz z 112-bitowymi kluczami. Jest to najlepsza praktyka zabezpieczeniowa w sektorze bankowym, której celem jest ochrona przed hakerami lub atakami w poszukiwaniu kluczy. W przypadku kryptogramów transakcji PayPass potrójny klucz DES przechowywany jest w bezpiecznej pamięci chipu na karcie zbliżeniowej. Zabezpieczenie to działa zarówno w przypadku transakcji online, jak również offline, choć w obu przypadkach zabezpieczenia nieco różnią się między sobą.

Transakcje PayPass w trybie offline opierają się na mechanizmie podpisu CDA (analiza danych złożonych) bazującym na EMV. Podobnie jak w tradycyjnym chipowym środowisku EMV, rozwiązanie opiera się na najnowocześniejszej kryptografii klucza publicznego RSA i tworzy generację ważnego, „podpisanego” komunikatu niewykonalnego dla oszusta – jeśli podpis będzie nieważny, terminal odmówi wykonania transakcji.

Transakcje PayPass w trybie online w dynamiczny sposób podpisują dane transakcji przy użyciu kryptogramów, które są poświadczane w czasie rzeczywistym przez bank przed autoryzacją transakcji. Tak jak w przypadku standardowego chipowego środowiska EMV, kryptogramy takie jak karta PayPass oblicza przy użyciu potrójnego algorytmu DES, opartego na 128-bitowych kluczach sesyjnych charakterystycznych dla konkretnej karty. Zastosowanie 128-bitowego potrójnego DES stanowi najlepszą praktykę zabezpieczeń w sektorze bankowym. W związku z powyższym dane transakcji płatniczej nie mogą zostać przewidziane ani wykorzystane przez inną transakcję PayPass, ani standardową transakcję chipową.

W końcu jeśli ktoś użył jej do płatności zbliżeniowej, istnieje prawdopodobieństwo, że skopiował też znajdujące się na niej dane i postanowi zrobić za jej pomocą większe zakupy w Internecie. Nie da się jednak skopiować z karty kodu CVC2 ani SecureCode, które są wymagane w przypadku większości transakcji w sieci.

Jeśli mimo to ktoś boi się zeskanowania swoich danych z karty płatniczej, może skorzystać ze specjalnego etui na karty zbliżeniowe, które uniemożliwia użycie karty bezstykowej, gdy ta się w nim znajduje. Możliwe jest też skorzystanie z telefonu komórkowego obsługującego płatności zbliżeniowe. Urządzenia te umożliwiają ręczne wyłączenie zbliżeniowej technologii NFC, przez co złodziej nie będzie miał sposobności do zeskanowania danych umożliwiających użycie naszej gotówki.

Jak widać, rozwiązania zbliżeniowe nie są o wiele bardziej niebezpieczne niż tradycyjne karty płatnicze. Jednak jeśli ktoś chce być bardzo przezorny, ma narzędzia, dzięki którym ryzyko odczytania danych i pieniędzy z takiej karty spadnie do zera.

Wiele osób obawia się, że może przypadkowo zapłacić za coś w sklepie, jeśli przesunie kartę zbliżeniową blisko czytnika. Jest to jednak niemożliwe. Przypadkowe wykonanie transakcji nie jest możliwe, ponieważ przed tą czynnością terminal musi zostać aktywowany przez sprzedawcę. Jeśli sprzedawca tego nie zrobi, przyłożenie karty do terminala nie spowoduje żadnych konsekwencji, a pieniądze nie zostaną pobrane z konta. Dodatkowo jeśli po aktywacji terminalu zostanie do niego przyłożona zła karta, sprzedawca będzie mógł anulować transakcję lub dokonać zwrotu kwoty, na którą została dokonana.

Bardzo ważne jest też, że każdy czytnik i terminal zbliżeniowyzostał przekazany sprzedawcy po uprzedniej weryfikacji jego tożsamości i danych firmy przez agenta rozliczeniowego. W praktyce oznacza to, że złodziej używający podrobionego terminala oraz czytnika nie będzie mógł wykraść pieniędzy z karty zbliżeniowej, ponieważ pieniądze zostaną przelane z konta posiadacza karty na konto sprzedawcy z pośrednictwem banku i agenta rozliczeniowego, którzy znają obu uczestników transakcji.

Narodowy Bank Polski udostępnił dane, według których Polska jest jednym z liderów rynku transakcji zbliżeniowych. W naszym kraju bardzo szybko rośnie liczba i wartość transakcji dokonywanych przy użyciu kart zbliżeniowych. Tempo przyrostu liczby i wartości transakcji jest nawet większe niż w przypadku transakcji tradycyjnymi kartami płatniczymi. Jest to jednak zrozumiałe, gdyż same karty płatnicze to już dojrzała technologia, z której korzystamy od kilkunastu lat.

Mimo to adaptacja płatności zbliżeniowych na polskim rynku jest zjawiskiem budzącym podziw. W kwietniu w kraju było wydanych 35 milionów kart płatniczych, z czego blisko 21 milionów, ponad 60 proc., ma funkcję zbliżeniową. Co więcej, jeszcze przez pewien czas zostaniemy liderem rynku nowoczesnej formy płatności. Janusz Diemko, do niedawna prezes zarządu firmy First Data, , stwierdził w wywiadzie udzielonym agencji informacyjnej Newseria Biznes, że do końca 2016 roku wszystkie terminale w Polsce będą umożliwiały transakcje zbliżeniowe.

Już dziś jesteśmy jednym z najbardziej innowacyjnych krajów na świecie, jeśli chodzi o płatności i nowoczesne usługi bankowe, Jesteśmy europejskim liderem i światowym numerem dwa, jeśli chodzi o popularność transakcji zbliżeniowych. Teraz wygląda na to, że już niebawem Polska stanie się również pierwszym krajem na świecie w 100 procentach obsługującym płatności zbliżeniowe.

---

Zdjęcia pochodzą z serwisu Shutterstock