Karta z chorągiewką

Codziennie nowy dramat. Bo news bez dramatu się nie sprzeda. Dziś Wyborcza alarmuje: (płatnicze karty zbliżeniowe) plus (małe transakcje bez weryfikacji) równa się (tragedia klientów banków). No, przynajmniej dwojga klientów, jak wynika z tekstu.

Tekst stawia pytanie o bezpieczeństwo takich transakcji. Pytanie absurdalne, bo już z definicji są one mniej bezpieczne. Tak po prostu ma być — prędkość kosztem weryfikacji, a więc bezpieczeństwa. Jak każda niemal nowość technologiczna: coś za coś. W najlepszym razie kosztem jest rezygnacja z dotychczasowych przywyczajeń. A bywa gorzej.

W czasach symbiozy mediów z polityką (obie sfery żywią się tym samym kurzem, pod którym toczy się realne życie) — tylko czekać, aż jakiś polityk “weźmie w obronę zagrożonych klientów”. Rozwiązania są niezliczone. Można np. zadekretować wzorem słynnych Red Flag Acts, że każdy posiadacz karty zbliżeniowej musi być poprzedzany przez umyślnego z chorągiewką, gdy tylko zaczyna planować jakąś transakcję. Nie wiadomo, co to może pomóc, ale za to jakże spekatularne…

We Francji przez lata (gdzieniegdzie do dziś) za autostradę płaci się kartą bez żadnej weryfikacji ani autoryzacji. Ni podpisu, ni PINu, nic. Karta jest wciągana przez automat na 2-3 sekundy po to tylko, by wczytać jej dane. Potem system spróbuje ściągnąć kasę. Uda się, ok, nie uda się, drugie ok. Karty użył złodziej? Trudno. Nie ma pokrycia? Trudno. Ba, swego czasu działała każda karta, nawet już nieważna. Byle miała czytelny pasek magnetyczny i szesnastocyfrowy numer.

Było o tym nieco hałasu w mediach, ale to w czasach, gdy dramat nie musiał być elementem każdego newsa. Nikt więc nie proponował rozwiązań drastycznych, bo Francuz wiedział i nawet dziś, w erze dość powszechnego télépéage,  wie dobrze, co to jest kolejka na autostradowej bramce. I to groźba utraty kasy determinuje jego myślenie w tej mierze, lecz świadomość, jakby to było, gdyby wszystkie płatności miały być weryfikowane. Już nie parę godzin, lecz całe dwa pierwsze dni sierpnia połowa Francuzów spędzałaby wtedy w kolejkach do bramek.

Autoryzacja karty może być krótka. Podpis to przeszłość, wstukanie PINu też trwa, ale można dużo szybciej: linie papilarne, wzór źrenicy oka. Natomiast weryfikacja karty musi trwać. Jakkolwiek szybkie będą łącza, decyduje czas na obsługę requestu przez komputer banku, a tu zawsze będzie wąskie gardło. Przy drobnych transakcjach — niech wygrywa szybkość. Tak, kosztem odrobiny bezpieczeństwa. To i tak lepsze niż gotówka.

21 thoughts on “Karta z chorągiewką

  1. Jeżeli bank nie daje wyboru co do rodzaju karty, jeżeli określa ilośc dziennych transakcji zbliżeniowych do kilku dziennie na kwotę (w sumie) kilkuset PLN a złodziej w kilkudziesięciu transakcjach pobiera kilka tysięcy to problem istnieje – technologia nie jest gotowa do wdrożenia. Przecież taki terminal pracujący w trybie offline musi jakoś dane buforować i w końcu przekazywać info do banku i mógłby to robić w czasie prawie rzeczywistym np w kilkanaście sekund po transakcji. Karta użyta po raz 7-8 przez złodzieja powinna zostać zablokowana. W artykule była mowa o 24 i 78 transakcjach!

    Naturalnie każdy z nas moze zostać okradziony na 200 PLN (gotówka przy sobie) ale nie każdy nosi przy sobie stale kilka tysięcy – co jak się okazuje odpowiada zbliżeniowej karcie płatniczej.

  2. Z artykułu wynika, że tam następuje (uff…) zbliżenie, ale nie ma klepania pinu, ani innej weryfikacji – tak, jak opisujesz to na francuskiej autostradzie. Znaczy, BTW, jakbym wybierał się do Francji, dobrze, że mam starą kartę nie zniszczoną, oszczędzę parę euro? Tak czy owak, mogę dość łatwo sobie wyobrazić (zrobić pewnie trudniej), np. złodzieja tramwajowego, który w kieszeni, chlebaczki i plecaczku będzie trzymał czułe (o podkręconej czułości) czytniki kart zbliżeniowych i ciachał ludziom drobne kwoty podczas przepychania się w tłoku. Wariantów szczegółowych tego typu kradzieży opisywać nie trzeba, wystarczy wspomnieć, że zapewne musiałby mieć działalność gospodarczą i kasę fiskalną. Ale to wszystko da się nosić w plecaku.
    Reklamy właśnie reklamują, że “nie masz kasy? zapłać telefonem!”. Aż dziw, że sieci telefoniczne, wzorem Poczty Polskiej, jeszcze nie założyły po banczku dla każdej – toż faktura wystawiana w cyklu miesięcznym może być uznana za oprocentowany, miesięczny kredyt konsumpcyjny o rosnącym saldzie! Od czego spryciule od tzw. “produktów finansowych”?
    Czytałem też, że rozwija się technika płatności telefoniczną kartą kredytową, tj. zamiast karty masz telefon z czytnikiem kodów QR.

    No, technika idzie w przód, ale forsa jest zabezpieczona mniej więcej podobnie, jak w średniowieczu.

  3. Z autostradami to chyba nie do końca adekwatny przykład, bo (przynajmniej w teorii) gdyby oszustwa na bramkach były masowe to można oszukującego ścignąć np. sądownie po numerze rejestracji (czy wręcz go na kolejnej bramce zatrzymać). W każdym razie jest możliwa stosunkowo łatwa identyfikacja po atrybutach z kartą nie związanych.

    Ale to fakt, że w płacenie kartą jest z definicji wpisane ryzyko przekrętów – która się bankom i tak opłaca. Tym bardziej, że często koszty tego ryzyka mniej lub bardziej po cichu przerzucają na sprzedawców i klientów.

    Co do wąskiego gardła autoryzacyjnego to się nie zgodzę. Skoro operatorzy komórkowi dają radę billingować w czasie rzeczywistym to czemu banki miały by nie móc? Co najwyżej uważają, że zainwestowanie w to się nie opłaca.

  4. Rozwinięcie artykułu tu i tu:
    http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-78-zlodziejskich-transakcji.html
    http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-wszystko-o-co-boicie-sie.html

    Jak dla mnie to jednak jest coś na rzeczy. Zdaje się, że banki robią na za dobrze na siłę, planują systemy tak żeby im było szybko i wygodnie, ale gdy przychodzi co do czego to umywają ręce.

    Nie jestem specjalnym zwolennikiem państwowej regulacji, ale z przytoczonych odpowiedzi banków jak dla mnie wynika, że gdyby ustawodawca nie narzucił górnej granicy odpowiedzialności na poziomie EUR150, to banki bez mrugnięcia okiem egzekwowałyby od okradzionych posiadaczy kart zbliżeniowych te drobne kilka tysięcy złotych debetu nastukanych zbliżeniowo w kilka godzin – “trzeba się było ubezpieczyć”…

  5. No własnie – ja dostałam zbliżeniowa chociaz nie prosiłam. Używałam dokąd mogłam starej, ale w końcu musiałam się przerzucić. Zwykle kupuję nia puszki dla kotów w Rosmannie:)
    A co do weryfikacji – w Szwecji długo były używane tzw żelazka – też nikt nie sprawdził, czy było pokrycie, najwyżej debet był

  6. Jak ktoś nie chce płacić zbliżeniowo, wystarczy kartę z RIFID wrzucić na trzy maks cztery sekundy do mikrofali i ugotowac nadajnik. Powyżej pięciu sekund kartę szlag trafia.
    Po ugotowaniu RIFIDu da sie dalej płacić tradycyjnie czyli albo chipem albo paskiem w terminalu.

    1. Do tej pory tak niszczyłem stare backupy na płytach CD – przed wyrzuceniem, ale nie wiedziałem, że da się niszczyć poszczególne funkcje selektywnie… Ale obawiam się, że dostosowanie metody do własnej kuchenki (moc, obrotowy talerz, itp.) może kosztować kilka wymian kart (“Proszę o wymianę karty debetowej z powodu zagotowania paska magnetycznego w kuchence mikrofalowej”). No chyba, że elementy są w niej tak rozmieszczone. że dałoby się zabezpieczyć wybrane np. przyklejając paski folii aluminiowej… 😉

  7. Wybacz ale wolę gotówkę – bo niby czemu ja mam ponosić koszty wygody banku? Karty zbliżeniowe to gorzej niż sakiewki przy pasku noszone w średniowieczu. Wzoru linii papilarnych też bankowi nie dam bo mam tylko jeden.

    Jak tylko pojawiły się zbliżeniówki to powiedziałem znajomemu – mam genialny pomysł na biznes: saszetki albo portfele blokujące działanie rfid w kartach zbliżeniowych. Złodzieje nie są debilami, jak ktoś nosi kasę na wierzchu to czemu mają nie brać?

    W małych sklepach płacę już tylko gotówką. Kartą robię duże zakupy i drobne w molochach. Zbliżeniówki nie mam – PIN mnie urządza, mogę poczekać.

    Pozdr,
    ps. ja wciąż czekam na info 😉

      1. Teoretycznie tak – ale ktoś go musi zeskanować, zapisać i zapewne przechować “dla mojej wygody”. I jak znam życie będzie to bank albo rząd a ja nie mam ochoty udostępniać takich danych ani jednemu ani drugiemu. Niedługo mnie pewnie zmuszą ale póki co…

      1. Gotówka jest lepsza bo masz kontrolę nad pieniądzem. Z kartą kredytową jesteś zawsze petentem. Bank Ci zawsze może powiedzieć – won szczylu! – i często to robi. Zdarzyło mi się i w Edynburgu, i w Damaszku, i w Paryżu czy w Warszawie. A jak się zdarzy to trzeba dzwonić do banku, korzyć się i udowadniać, że się nie jest wielbłądem. Albo mieć przy sobie gotówkę.

        Pozdr,

        1. Z drugiej strony, karta (lepiej płatnicza niż kredytowa) jest lepsza, bo masz kontrolę nad wydatkami pot factum.

          Konia z rzędem temu, kto posługując się gotówką, będzie umiał w miarę ściśle odpowiedzieć na pytanie “na co wydałem w tym tygodniu tyle kasy”. Dla kogoś posługującego się tylko kartą to jest zalogować się do banku, wyeksportować do OpenOffice (czy innego Excela) i trochę pogrupować.

  8. Panie Krzysztofie!

    Dlaczego gotówka ma być gorsza niż karta? Ja wolę kartę, bez funkcji zbliżeniowej, ale nie twierdzę, że jest lepsza. Mój wybór nie wynika z obiektywnych właściwości plastiku, tylko z moich preferencji. Inna sprawa, że od wprowadzenia przez mój bank opłaty za transakcje w walucie innej niż funty szterlingi, do Polski wożę gotówkę, zamiast używać karty.

    Pozdrawiam

    Jerzy Maciejowski

  9. Te wszystkie nasze rozważania to chyba już niedługo będa nieistotne : http://wyborcza.biz/biznes/1,100896,13574573,Cypr__kolejki_do_bankomatow_na_wiesc_o_warunkach_pakietu.html#BoxSlotII3img
    A jak się jeszcze pojawi europejska wersja Executive Order 6102 to będzie wesoło…

    Przesadzam ? Jest ktoś lub jakaś instytucja ( na ten przykład jakowyś Trybunał ) kto zagwarantuje , że tak się nie stanie ? Nie ma ? No właśnie…

  10. Aproposik tych kart to one są złe z dwu powodów po pierwsze i nie najważniejsze łatwo jest je okradać, a po drugie ważniejsze działają jak chip do śledzenia ich nosiciela. Czyli czipikowanie się powiodło w okrężny sposób i to nie to dla którego wmawiano ludziom pożytki z niego płynące czyli możliwość namierzenia w sytuacjach ekstremalnych tylko to o które chodziło szołbissnessowi czyli śledzenie codziennych zachowań:
    http://www.youtube.com/watch?feature=player_embedded&v=E9cnz1mKkr8#!

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.