Zbliżeniówki: wygodne i niebezpieczne?

Czy płatności zbliżeniowe są bezpieczne? Z tematem tym wiąże się sporo kontrowersji. Dokonywanie szybkich transakcji praktycznie bez autoryzacji, bez osławionego "PIN i zielony" lub podpisu na rachunku, to niewątpliwie duże ułatwienie w codziennych zakupach. Jednocześnie jednak łatwo wyobrazić sobie sytuację, w której karta zbliżeniowa trafia w niepowołane ręce, te zaś pozwalają sobie ochoczo na zakup najrozmaitszych towarów i usług za nasze pieniądze. Co więcej, tak naprawdę to nie kwestia wyobrażania sobie czegokolwiek, bo przecież takie historie naprawdę się zdarzają, podobnie jak przypadki skanowania kart. Czy zatem korzystanie ze "zbliżeniówek" nie wiąże się ze zbyt dużym ryzykiem?

Między innymi na to pytanie postanowiła odpowiedzieć Komisja Nadzoru Finansowego w specjalnym raporcie, który wczoraj opublikowała na swoich stronach. Wynika z niego, że - wbrew pozorom - poziom ryzyka, jaki wiąże się z korzystaniem z kart zbliżeniowych, nie odbiega znacząco od poziomu, który towarzyszy użyciu kart nie posiadających tej funkcjonalności. W jaki sposób KNF uzasadnia swoje stanowisko? Jednym z argumentów jest fakt, że "banki deklarują, iż transakcje oszukańcze dokonywane w trybie zbliżeniowym stanowią znikomy udział w ogóle tego typu transakcji (liczony w promilach)". Z drugiej strony eksperci KNF przyznają, że po części może to wynikać z faktu, iż pewna (duża? - wg KNF "trudna do oszacowania") liczba użytkowników nie zadaje sobie trudu zgłaszania takich transakcji, a to z uwagi na ich zbyt małą wartość. Tak czy inaczej, w szeregu przypadków klient może kwestionować fakt autoryzacji danej transakcji zbliżeniowej - i wówczas bank będzie zobowiązany do przywrócenia jego rachunku do wcześniejszego stanu. Z drugiej strony, "jeden z banków wskazał wprost, iż z uwagi na specyfikę transakcji nie istnieje możliwość udowodnienia, kto faktycznie dokonał transakcji zbliżeniowej do 50 zł, jeżeli klient ją kwestionuje".

W ogólności KNF sądzi, że przynajmniej część z zagrożeń, jakie wiążą się metodą bezstykową, może zostać ograniczona przy pomocy rozwiązań technologicznych. Potencjalnych zagrożeń związanych ze "zbliżeniówkami" KNF wymienia pięć. Pierwsze polega na dokonaniu transakcji przekraczających (czy to liczbą, czy to łączną kwotą) limit zadeklarowany przez klienta (wówczas dochodzi do przekroczenia salda rachunku). Może dojść także do "wykorzystania urządzeń pośredniczących w celu przeprowadzenia transakcji zdalnie obciążającej cudzą kartę zbliżeniową", jak również do odczytania danych osobowych (i innych) z karty w sposób nieuprawniony. Czwarty casus to częściowe sklonowanie karty, piąty wiąże się z poprzednimi, chodzi bowiem o doprowadzenie do którejś z wcześniejszych sytuacji przy pomocy złośliwego oprogramowania.

W przypadku kradzieży karty złodziej może - bez podawania numeru PIN - dokonywać nią transakcji na kwoty niższe niż 50 zł. Może tak się dziać nawet, jeśli posiadacz karty dokonana jej zastrzeżenia. Scenariusz taki KNF uważa za "całkowicie realny", choć mogą go ograniczyć limity kwot lub liczby transakcji, a także mechanizm losowego wyboru transakcji, która zostanie przeprowadzona w trybie stykowym. Zabezpieczeniem może być też "ograniczenie odpowiedzialności posiadacza skradzionej karty za dokonane transakcje do kwoty 150 EUR przed jej zastrzeżeniem oraz brak odpowiedzialności posiadacza za dokonane transakcje po zastrzeżeniu karty".

Scenariusz nieuprawnionego odczytu danych w zdalny sposób jest, jak się okazuje, mniej prawdopodobny i groźny, bo "wydawane obecnie w Polsce karty zbliżeniowe nie udostępniają w trybie zbliżeniowym danych dotyczących imienia i nazwiska posiadacza karty ani kodu CVC2/CVV2, a jedynie numer karty i datę jej ważności". Zapewne więc okaże się, że z punktu widzenia przestępcy gra nie będzie warta świeczki.

Skomplikowany dla przestępcy będzie też scenariusz ataku przekaźnikowego, który wygląda tak, że jedno urządzenie pośredniczące komunikuje się z kartą ofiary, drugie jest przyłożone do terminala płatniczego, a oba komunikują się ze sobą przez internet. Celem jest obciążenie karty ofiary. Wiążą się z tym jednak poważne trudności logistyczne - np. złodzieje musieliby "przyłożyć swoje urządzenie pośredniczące do terminala – w chwili, w której drugie urządzenie pośredniczące znajdowałoby się akurat w odpowiednio bliskiej odległości karty ofiary".

Jaka jest skala płatności zbliżeniowych? KNF zbadała 15 banków - 14 z nich oferowało taką możliwość. Dotąd wyemitowały one ok. 13 milionów kart (lub innych instrumentów płatniczych), umożliwiających transakcje zbliżeniowe. Jest to więc szeroki rynek i wydaje się, że klienci, choć dostrzegają ryzyko, to jednak bardziej zauważają korzyści z tej formy płatności. Cóż, powinni jednak pamiętać, że - jak pisała Agatha Christie - "zło czai się wszędzie". Transakcje zbliżeniowe to jedne z wielu sytuacji w życiu, w których statystyka podpowiada, że "prawdopodobnie" nic się nie stanie - ale czasami stać się może i wówczas będziemy musieli poddać się rozmaitym procedurom, a także poważnie zastanowić się nad tym, w jakim stopniu zawiniliśmy lekkomyślnością.

B. Garga