Część użytkowników kart ze względów bezpieczeństwa obawia się płacić nimi w Internecie. Te obawy mają pewne uzasadnienie, bo płatności bez fizycznej obecności karty rzeczywiście wydają się zabezpieczone najsłabiej spośród wszystkich typów transakcji kartowych.
Do podjęcia gotówki z bankomatu potrzebne jest posiadanie karty i znajomość kodu PIN. Przy klasycznej płatności bezgotówkowej wymagana jest karta i PIN lub podpis.
Mniej restrykcyjne są zasady wykonywania płatności zbliżeniowych. Tu, aby zapłacić za towar lub usługę, wystarczy jedynie mieć kartę w portfelu posiadanie karty – jednak systemowe ograniczenia liczby i kwoty transakcji, które można w ten sposób wykonać, zwiększają bezpieczeństwo takiego rozwiązania.
Ilościowych ani kwotowych ograniczeń nie ma natomiast przy płatnościach internetowych (chyba że bank pozwala posiadaczom kart indywidualnie ustalić kwotowy limit dla transakcji zdalnych).
Choć można w ten sposób dokonywać płatności na wysokie kwoty, transakcje odbywają się bez weryfikacji kodu PIN i podpisu użytkownika. Wystarczy, że osoba dokonująca internetowych zakupów zna numer karty i podstawowe dane jej użytkownika.
To może rodzić obawy, że osoba nieuprawniona posłuży się skradzioną lub znalezioną kartą. Jej legalnemu użytkownikowi pozostaje wtedy droga reklamacyjna.
Dodatkowe hasło potwierdza tożsamość płacącego
Sposobem, by do takich nadużyć dochodziło rzadziej, jest dodatkowe zabezpieczenie zdalnych transakcji w standardzie 3D Secure (dla kart Visa nosi ono nazwę Verified by Visa, zaś dla kart MC: MasterCard Secure Code).
W największym uproszczeniu polega ono na tym, że bank wyraża zgodę na obciążenie karty kwotą transakcji dopiero wtedy, gdy klient dokonujący płatności dodatkowo potwierdzi, że jest uprawniony do jej wykonania.
Stosowany jest tu identyczny rodzaj uwierzytelnienia, co w systemie bankowości internetowej. Klient jest więc przekierowywany z e-sklepu do serwisu internetowego swojego banku, a tam musi wpisać jednorazowe hasło. Może to być np. kod SMS wysłany przez bank na zarejestrowany w systemie numer telefonu komórkowego klienta lub odczyt hasła wygenerowanego przez przekazany tej osobie token.
W efekcie przy płatnościach internetowych uzyskuje się taki sam poziom bezpieczeństwa, jak przy zleceniach wydawanych w systemie bankowości internetowej.
Zabezpieczenie działa dopiero w trzech bankach
Najdłużej, bo już od roku 2008, z 3D Secure korzystają klienci BZ WBK. Bank wyposażył w tę usługę wszystkie wydawane karty. Po aktywacji 3D Secure klienci tego banku potwierdzają transakcje dokonywane w sklepach internetowych kodem SMS lub kodem z tokena – w zależności od tego, którego rozwiązania używają na co dzień we współpracy z bankiem.
W Citi Handlowym posiadacze kart kredytowych używają haseł 3D Secure od maja 2011 r. Jednorazowe hasła są każdorazowo przesyłane na numer telefonu komórkowego klienta. Karty debetowe takich zabezpieczeń nie posiadają do dziś.
Bankomat połknął Ci kartę? Spokojnie!
Od czerwca 2012 r. do listy banków oferujących 3D Secure dołączył ING. W pierwszej kolejności zabezpieczone zostały transakcje wykonywane kartami debetowymi, których bank obsługuje najwięcej, a także specjalnymi kartami przedpłaconymi, które służą wyłącznie do dokonywania transakcji internetowych. Płatność w e-sklepie musi być potwierdzona kodem autoryzacyjnym przesyłanym do klienta w formie wiadomości SMS lub dostarczanym przez telefoniczny serwis HaloŚląski. Natomiast posiadacze kart kredytowych ING na wprowadzenie 3D Secure muszą poczekać do końca roku.
Już wkrótce na tej liście pojawi się kolejny bank. Wprowadzenie 3D Secure jeszcze w lipcu zapowiadało Millennium. W przejściowym okresie klienci będą mogli wykonać trzy płatności internetowe nie potwierdzone jednorazowymi hasłami SMS, później taka możliwość zostanie wyłączona. Docelowo zabezpieczeniem będą objęte wszystkie karty.
Mniej konkretne są plany innych instytucji. BNP Paribas przymierza się do wprowadzenia 3D Secure w przyszłym roku. Natomiast Nordea Bank informuje, że na poziomie skandynawskiej centrali grupy powstały już plany wdrożenia tej usługi, jednak nie można jeszcze określić, kiedy skorzystają z niej polscy klienci tego banku.
Jest bezpiecznie, ale nie do końca
Wprowadzenie 3D Secure przez krajowe banki nie oznacza jeszcze całkowitego wyeliminowania ryzyka związanego z płaceniem kartą w Internecie.
Zabezpieczenie jest tak mocne, jak jego najsłabszy punkt – a tu najsłabszym punktem są zagraniczne sklepy internetowe, które 3D Secure nie wdrożyły.
Przestępca, który pozna dane karty zabezpieczonej przez bank, nie będzie mógł jej użyć w zdecydowanej większości krajowych e-sklepów. Jednak to nie eliminuje ryzyka, że karta zostanie użyta w sklepie, który nie wdrożył tego zabezpieczenia.
Piotr Ceregra, Powszechny Dom Kredytowy