Niepozorne kwitki z logo Polcardu, eService czy CardPoint ma w portfelu każdy, kto często płaci kartą za zakupy. Po każdej transakcji jedna kopia potwierdzenia, ta podpisana przez nas, zostaje w sklepie, a drugą dostajemy od kasjera razem z paragonem. Wśród kilkunastu innych niezbyt pasjonujących danych - takich jak numer transakcji, adres sklepu, data zakupu, czy zapłacona cena - na wydrukach bywa umieszczany również numer karty płatniczej i data jej ważności.
Dane karty prawie zawsze zobaczymy np. na kwitkach drukowanych przez terminale Polcardu (obsługują więcej niż co trzecią transakcję w kraju) oraz na potwierdzeniach z logo eService. Co w tym złego? Z pozoru nic, ale według specjalistów od handlu bezgotówkowego numery i daty ważności kart przy odrobinie szczęścia mogą być cenną wskazówką dla internetowych oszustów, którzy chcieliby zrobić zakupy w sieci na czyjeś konto. To właśnie ze względów bezpieczeństwa wypłacając pieniądze z bankomatu, na potwierdzeniu zobaczymy tylko niektóre cyfry numeru karty. Pozostałe będą ukryte.
Dlaczego potwierdzenie wypłaty bankomatowej, choć jest drukowane tylko w jednym egzemplarzu, zawiera często mniej ważnych danych niż kwitek z zakupów "karcianych", który trafia nie tylko do kupującego, lecz także do sprzedawcy? Przedstawiciele centrów autoryzacyjnych obsługujących transakcje karciane twierdzą, że nie mają obowiązku "ukrywania" numerów kart. - Postępujemy zgodnie z regulacjami i wszelkimi standardami narzucanymi przez organizacje płatnicze - tłumaczy Rafał Szczechura z centrum autoryzacyjnego eService. Obie organizacje - Visa i MasterCard - wprawdzie sugerują maskowanie numerów na wydrukach, ale tego nie egzekwują.
Czego banki nie sprawdzają
Karol Żwiruk z internetowego serwisu kartyonline.net przyznaje, że numer karty i data jej ważności to informacje, które identyfikują osoby chcące przeprowadzić transakcję w sieci. Ale powinny być też inne zabezpieczenia. Sklepy internetowe wymagają zwykle podania kilku innych danych, których nie ma na potwierdzeniach - np. imienia i nazwiska posiadacza karty. Poza tym trzeba podać jeszcze adres i tzw. kod CVC2/CVV2 znajdujący się na odwrocie każdej karty. Żadnej z tych informacji nie drukuje terminal na potwierdzeniach transakcji bezgotówkowych.
Teoretycznie więc, gdy nie ma się przed sobą prawdziwej karty, nie można zrobić zakupów w internecie na czyjeś konto. Ale... Żwiruk przyznaje, że niektóre banki zatwierdzają zakupy internetowe, nawet jeśli posiadacz karty błędnie poda w sieci swoje nazwisko, adres lub kod z odwrotu karty! Centra rozliczeniowe i sklepy nie mają dostępu do adresów posiadaczy kart. Nie sprawdzają też nazwisk, obawiając się odrzucania transakcji z powodu drobnych błędów, literówek.
Podobnie bywa z kodem CVC2/CVV2, co potwierdził nam anonimowo przedstawiciel jednego z centrów rozliczeniowych. - Są banki, które realizują transakcje tylko z poprawnie podanym kodem, ale są i takie, które nie odrzucają transakcji np. bez wpisanego kodu - mówi nasz informator. - Wdrażanie technologii do wszechstronnej weryfikacji transakcji internetowych nie jest dla banków priorytetem, takie transakcje stanowią niewielką część obrotu handlowego realizowanego przy użyciu kart - dodaje.
Chciwy i tak wpadnie
Centra rozliczeniowe (eCard, Polcard czy eService) oraz organizacje płatnicze (Visa, MasterCard) starają się zmniejszyć ryzyko przestępstw i monitorują na własną rękę nietypowe transakcje. Jeśli wartość zakupu przekracza pewną kwotę, jest duże prawdopodobieństwo, że centrum sprawdzi dane kupującego lub poprosi o to bank, który wydał kartę. Podobnie jest w przypadku rejestrowania kilku transakcji tą samą kartą na różne nazwiska czy adresy lub wykonania podejrzanie dużej liczby transakcji w krótkim czasie.
- Możliwości filtrowania bazy w czasie rzeczywistym są ogromne - zapewnia Adam Parfiniewicz z Polcardu. Centrum rozliczeniowe może też zawiesić każdą podejrzaną transakcję na pewien czas i skontaktować się z prawowitym posiadaczem karty. Gorzej, jeśli przestępca dla niepoznaki wykonuje niezbyt często drobne transakcje, które nie są wychwytywane przez systemy monitorujące, a bank potwierdza zgodność wszystkich danych, choć np. sprawdził tylko numer karty i datę jej ważności.
Specjaliści pocieszają, że po złodziejskich transakcjach, nawet jeśli przejdą przez sito monitoringu, zwykle pozostaje jakiś ślad - jeśli zamówimy na czyjeś konto np. sprzęt audio-video, to musimy podać adres, pod jaki przesyłka ma zostać dostarczona. I prędzej czy później pod ten adres zapuka policja. Co innego, jeśli przestępca będzie kupował on-line usługi (np. doładowania telefonu pre-paid) - wtedy trudniej chwycić go za rękę.
Zamkniemy tę furtkę!
Centra autoryzacyjne obiecują, że wkrótce zamkną furtkę, jaką jest podawanie numerów kart na wydrukach. - Przygotowujemy się do maskowania numerów. Obecnie nasze terminale maskują logotypy kart Maestro, wkrótce rozszerzymy projekt także na inne karty - mówi Rafał Szczechura z eService.
- Maskowanie numerów kart będzie obligatoryjne dopiero od kwietnia 2005 r. Pracujemy jednak nad wcześniejszym wdrożeniem tego rozwiązania - oświadczył nam Adam Parfiniewicz z Polcardu. Numery niektórych kart ukrywa już CardPoint. - Zgodnie z zaleceniem organizacji płatniczych nie pokazujemy na wydrukach pełnych numerów kart elektronicznych. Drukujemy natomiast numery kart kredytowych wypukłych, bo one nie są objęte tym zaleceniem - tłumaczy Krzysztof Tokaj z CardPoint.
Banki będą musiały lepiej zabezpieczyć posiadaczy kart dopiero w połowie 2005 r. Wtedy - na mocy dyrektyw Unii Europejskiej - pojawi się obowiązek m.in. obligatoryjnej autoryzacji zapisanego na pasku magnetycznym kodu CVC2/CVV2.
Bank, który się nie zastosuje do dyrektywy, będzie obciążany pełną odpowiedzialnością za skutki ewentualnych transakcji przestępczych. Na razie banki z reguły uwzględniają reklamacje okradzionych w sieci klientów. Tyle że w naszych warunkach trwa to zwykle kilka tygodni i niekiedy kosztuje pechowego posiadacza karty sporo nerwów.
Póki co Anna Znamirowska-Staczek z Multibanku zaleca osobom niezbyt często korzystającym z płatności kartami w internecie blokowanie możliwości tego typu transakcji. - W razie potrzeby zawsze można aktywować taką usługę, a potem znów ją zablokować - mówi przedstawicielka Multibanku. Niestety, nie wszystkie banki dają możliwość łatwego blokowania i aktywowania karcianych płatności internetowych. (
