Płacenie kartą w e-sklepach jest niebezpieczne
Płatności kartą w Internecie są, niestety, ryzykowne, ponieważ większość polskich banków zwleka z wprowadzeniem technologii 3D Secure, która znakomicie zwiększyłaby bezpieczeństwo
Na razie jedyną formą przekazywania pieniędzy bez obaw o ich utratę jest przelew elektroniczny zabezpieczony kodem PIN, hasłami jednorazowymi lub kodami sms, ewentualnie karta przedpłatowa zasilana bezpośrednio przed transakcją.
Zgodnie z porozumieniem podpisanym przez największe międzynarodowe organizacje płatnicze wszystkie banki członkowskie miały przejść na karty chipowe do końca 2005 roku. Od tego czasu w Europie karty z paskiem magnetycznym powinny funkcjonować na równych prawach z chipowymi.
Obecnie, aby zapłacić za jakikolwiek produkt kupowany w Internecie, wystarczy podać dane znajdujące się na karcie: imię i nazwisko, numer karty, datę ważności oraz trzy ostatnie cyfry numeru wydrukowanego na rewersie obok paska magnetycznego i pola, na którym składamy podpis. Żadne inne dane, np. adres zamieszkania, nie są wymagane przy autoryzacji. Banki weryfikują płatności wyrywkowo i tylko wtedy, gdy są one nietypowe dla danego klienta. Jeśli więc ktoś w miarę regularnie płaci za zakupy np. około 1 tys. zł, to każda transakcja o tej wartości nie wzbudzi podejrzeń centrum monitoringu.
Niestety, w takiej sytuacji wystarczy stracić kartę z oka nawet na kilka minut, by na przykład nieuczciwy kelner czy kasjer wszedł w posiadanie danych wystarczających do dokonania oszustwa.
Bezpieczny system autoryzacji kart w Internecie jest obecnie oferowany w naszym kraju przez dwa centra rozliczeniowe: eCard i PolCard. Z systemu korzysta większość polskich sklepów internetowych. Zapewnia on pełne zabezpieczenie numeru karty oraz innych danych,ale tylko w trakcie płatności kartą w Internecie. Sklep, w którym kupujemy, nie otrzymuje tych danych. Są one przetwarzane wyłącznie na serwerze centrum rozliczeniowego. Cóż z tego, skoro system i tak jest bezradny, gdy numer karty zostanie podejrzany przez przestępców poza siecią.
Dlatego też jedynym sposobem na wyeliminowanie tego typu przestępstw jest uruchomienie przez polskie banki systemu 3D Secure. Polega on m.in. na tym, że użytkownik karty każdorazowo po przejściu odpowiedniej weryfikacji nadaje sobie jednorazowe hasło, które posłuży do potwierdzenia płatności. W takiej sytuacji numer karty pełni w zasadzie tylko funkcję loginu, ponieważ bez podania hasła wykonanie transakcji nie będzie możliwe.
Oczywiście, tak jak dotychczas nadal trzeba sprawdzać, czy strona, na której chcemy wpisać numer, jest godna zaufania, należy do dużych i znanych firm.
Gdy przeprowadzamy transakcję z wykorzystaniem 3DS, powprowadzeniu numeru karty oraz danych osobowych centrum rozliczeniowe najpierw łączy się z bankiem-wydawcą karty, by sprawdzić, czy obsługuje on technologię danej organizacji płatniczej. Jeśli tak, to na ekranie komputera pojawia się bezpieczne okienko z prośbą o podanie hasła potwierdzającego transakcję.
Co ważne, ze względów bezpieczeństwa w miejscu, w którym trzeba wpisać hasło, pojawi się osobista wiadomość zabezpieczająca. Jest ona określana przez klienta albo też bank informuje posiadacza karty o jej treści. Zna ją tylko klient. Jej wyświetlenie oznacza, że hasło wpisywane jest w oryginalną aplikację banku wydającego kartę. Brak wiadomości to sygnał, że prawdopodobnie ktoś usiłuje podszyć się pod bank i wyłudzić hasło.
Po wpisaniu hasło jest weryfikowane przez bank, który po akceptacji wydaje centrum rozliczeniowemu zgodę na przeprowadzenie transakcji. Jeśli hasło jest błędne, płatności nie da się zrealizować, bo jest od razu odrzucana.
Mariusz Gzyl, Rzeczpospolita
