[Karty] Re: BZ WBK wprowadza standard kart chipowych

[Sebastian Malarz]

> Pisałem już o tym, że są tylko dwa wyjścia. Albo PIN jest niezmienny. Albo
> klient może zmieniać PIN tylko przy użyciu fizycznym karty. Sytuacja inna
> prowadzi do zakłopotania klienta.

Nie wiem jaki jest faktyczny odsetek klientów wykorzystujących możliwość
zdalnego (telefonicznego lub poprzez www) nadawania lub zmiany kodu PIN,
ale nie sądzę aby był tak duży, aby stanowiło to duży problem.

Każda nowa technologia niesie nowe szanse i możliwości, ograniczając
niestety pewną mniej wykorzystywaną funkcjonalność. Przewaga kart
chipowych nad magnetycznymi jest tak ogromna w dłużej perspektywie,
że ten minus (o ile jest to minus) staje się mniej znaczący i po prostu
ograniczenie tej funkcjonalności będzie "wliczone" w proces wdrożenia
karty, i prawdę mówiąc nie sądzę, aby z tego powodu zrobiła się jakakolwiek
większa afera, masa niezadowolonych klientów itp. Nie przesadzajmy :-)

W końcu PIN znany jest ludziom nie tylko z kart bankowych lecz z wielu
innych miejsc, gdzie nie było i nie ma funkcjonalności zmiany PIN
telefoniznie czy poprzez WWW - np. karty GSM - i jakoś nie słyszę,
żeby ktoś z tego powodu czuł się bardzo nieszczęśliwy :-)

Równie dobrze ktoś może zaraz narzekać, że karty chipowe trzeba wkładać
do połowy do czytnika a nie przesuwać ją ręcznie, co zapewne jest
wygodniejsze
i mniej wyczerpujące fizycznie :-)

Byłby problem, gdyby w ogóle nie dało się zmieniać kodu PIN - ale taka
możliwość będzie, lecz wyłącznie po spełnieniu pewnych wymogów, czyli
wyłącznie z fizycznym użyciem karty (np. bankomat, terminal, czytnik PC).

Zresztą trzeba też spojrzeć na to od innej strony - od strony samego
bezpieczeństwa klienta. Pamiętajmy o dwóch cechach karty chipowej
takich jak multifunkcjonalność oraz możliwość zmniejszenia autoryzacji
on-line.

Obie cechy powodują, że na miejscu banków wycofałbym się
z możliwości dopuszczania zmiany kodu PIN telefonicznie czy poprzez
www gdyż stanowi to duże niebezpieczeństwo. Po pierwsze kod PIN
karty chipowej "chroni" znacznie więcej niż w przypadku karty
magnetycznej, szczególnie jeżeli takim kodem na karcie mamy
zabezpieczony podpis elektroniczny, informacje osobiste, różne
dane z programów lojalnościowych itp. Po drugie zaś, karta chipowa
autoryzując transakcje online znacznie rzadziej niż karta z paskiem
magnetycznym jest w niektórych przypadkach znacznie trudniejsza do
zastrzeżenia (gdyż ma rzadszy kontakt z centrum autoryzacji) - choć
to też zależy od parametrów samej karty (o czym pisał już Filip
Wyszomirski) - co powoduje, że ktoś kto pozna kod PIN może
w sprzyjających okolicznościach narobić większych szkód niż
w przypadku karty magnetycznej - i to szkód klientów, a nie banków.

W każdym razie uważam, że w tym momencie jakakolwiek zmiana
kodu PIN powinna być przeprowadzana w znacznie bezpieczeniejszy
sposób niż jest to obecnie - a są przecież karty, dla których obecnie
kod PIN nadaje się drogą papierową poprzez formularz na którym
wpisuje się ręcznie nowy kod PIN i wysyła do wystawcy karty zwykłą
pocztą.

Pozdrawiam,
Sebastian Malarz