[Karty] gazeta.pl: Kwitki grozy - czy płacąc za za kupy w sklepie, powinniśmy się obawiać in ternetowych złodziei?

[Piotr J. Ochwal]

Kwitki grozy - czy płacąc za zakupy w sklepie, powinniśmy się obawiać
internetowych złodziei?

Maciej Samcik 08-08-2004 , ostatnia  aktualizacja 08-08-2004 16:18

Bardzo często na kwitku potwierdzającym  transakcję kartą w sklepie,
restauracji czy stacji benzynowej widnieją dane,  które mogą im ułatwić
robotę

Niepozorne  kwitki z logo Polcardu, eService czy CardPoint ma w portfelu
każdy, kto często  płaci kartą za zakupy. Po każdej transakcji jedna kopia
potwierdzenia, ta  podpisana przez nas, zostaje w sklepie, a drugą
dostajemy od kasjera razem z  paragonem. Wśród kilkunastu innych niezbyt
pasjonujących danych - takich jak  numer transakcji, adres sklepu, data
zakupu, czy zapłacona cena - na wydrukach  bywa umieszczany również numer
karty płatniczej i data jej ważności.

Dane karty prawie zawsze zobaczymy np. na kwitkach drukowanych przez
terminale Polcardu (obsługują więcej niż co trzecią transakcję w kraju)
oraz na  potwierdzeniach z logo eService. Co w tym złego? Z pozoru nic, ale
według  specjalistów od handlu bezgotówkowego numery i daty ważności kart
przy odrobinie  szczęścia mogą być cenną wskazówką dla internetowych
oszustów, którzy chcieliby  zrobić zakupy w sieci na czyjeś konto. To
właśnie ze względów bezpieczeństwa  wypłacając pieniądze z bankomatu, na
potwierdzeniu zobaczymy tylko niektóre  cyfry numeru karty. Pozostałe będą
ukryte.

Dlaczego potwierdzenie  wypłaty bankomatowej, choć jest drukowane tylko w
jednym egzemplarzu, zawiera  często mniej ważnych danych niż kwitek z
zakupów "karcianych", który trafia nie  tylko do kupującego, lecz także do
sprzedawcy? Przedstawiciele centrów  autoryzacyjnych obsługujących
transakcje karciane twierdzą, że nie mają  obowiązku "ukrywania" numerów
kart. - Postępujemy zgodnie z regulacjami i  wszelkimi standardami
narzucanymi przez organizacje płatnicze - tłumaczy Rafał  Szczechura z
centrum autoryzacyjnego eService. Obie organizacje - Visa i  MasterCard -
wprawdzie sugerują maskowanie numerów na wydrukach, ale tego nie
egzekwują.

Czego banki nie sprawdzają

Karol Żwiruk z  internetowego serwisu kartyonline.net przyznaje, że numer
karty i data jej  ważności to informacje, które identyfikują osoby chcące
przeprowadzić transakcję  w sieci. Ale powinny być też inne zabezpieczenia.
Sklepy internetowe wymagają  zwykle podania kilku innych danych, których
nie ma na potwierdzeniach - np.  imienia i nazwiska posiadacza karty. Poza
tym trzeba podać jeszcze adres i tzw.  kod CVC2/CVV2 znajdujący się na
odwrocie każdej karty. Żadnej z tych informacji  nie drukuje terminal na
potwierdzeniach transakcji  bezgotówkowych.

Teoretycznie więc, gdy nie ma się przed sobą prawdziwej  karty, nie można
zrobić zakupów w internecie na czyjeś konto. Ale... Żwiruk  przyznaje, że
niektóre banki zatwierdzają zakupy internetowe, nawet jeśli  posiadacz
karty błędnie poda w sieci swoje nazwisko, adres lub kod z odwrotu  karty!
Centra rozliczeniowe i sklepy nie mają dostępu do adresów posiadaczy  kart.
Nie sprawdzają też nazwisk, obawiając się odrzucania transakcji z powodu
drobnych błędów, literówek.

Podobnie bywa z kodem CVC2/CVV2, co  potwierdził nam anonimowo
przedstawiciel jednego z centrów rozliczeniowych. - Są  banki, które
realizują transakcje tylko z poprawnie podanym kodem, ale są i  takie,
które nie odrzucają transakcji np. bez wpisanego kodu - mówi nasz
informator. - Wdrażanie technologii do wszechstronnej weryfikacji
transakcji  internetowych nie jest dla banków priorytetem, takie transakcje
stanowią  niewielką część obrotu handlowego realizowanego przy użyciu kart
- dodaje.

Chciwy i tak wpadnie

Centra rozliczeniowe (eCard, Polcard  czy eService) oraz organizacje
płatnicze (Visa, MasterCard) starają się  zmniejszyć ryzyko przestępstw i
monitorują na własną rękę nietypowe transakcje.  Jeśli wartość zakupu
przekracza pewną kwotę, jest duże prawdopodobieństwo, że  centrum sprawdzi
dane kupującego lub poprosi o to bank, który wydał kartę.  Podobnie jest w
przypadku rejestrowania kilku transakcji tą samą kartą na różne  nazwiska
czy adresy lub wykonania podejrzanie dużej liczby transakcji w krótkim
czasie.

- Możliwości filtrowania bazy w czasie rzeczywistym są ogromne -  zapewnia
Adam Parfiniewicz z Polcardu. Centrum rozliczeniowe może też zawiesić
każdą podejrzaną transakcję na pewien czas i skontaktować się z prawowitym
posiadaczem karty. Gorzej, jeśli przestępca dla niepoznaki wykonuje niezbyt
często drobne transakcje, które nie są wychwytywane przez systemy
monitorujące,  a bank potwierdza zgodność wszystkich danych, choć np.
sprawdził tylko numer  karty i datę jej ważności.

Specjaliści pocieszają, że po złodziejskich  transakcjach, nawet jeśli
przejdą przez sito monitoringu, zwykle pozostaje jakiś  ślad - jeśli
zamówimy na czyjeś konto np. sprzęt audio-video, to musimy podać  adres,
pod jaki przesyłka ma zostać dostarczona. I prędzej czy później pod ten
adres zapuka policja. Co innego, jeśli przestępca będzie kupował on-line
usługi  (np. doładowania telefonu pre-paid) - wtedy trudniej chwycić go za
rękę.

Zamkniemy tę furtkę!

Centra autoryzacyjne obiecują,  że wkrótce zamkną furtkę, jaką jest
podawanie numerów kart na wydrukach. -  Przygotowujemy się do maskowania
numerów. Obecnie nasze terminale maskują  logotypy kart Maestro, wkrótce
rozszerzymy projekt także na inne karty - mówi  Rafał Szczechura z
eService.

- Maskowanie numerów kart będzie  obligatoryjne dopiero od kwietnia 2005 r.
Pracujemy jednak nad wcześniejszym  wdrożeniem tego rozwiązania -
oświadczył nam Adam Parfiniewicz z Polcardu.  Numery niektórych kart ukrywa
już CardPoint. - Zgodnie z zaleceniem organizacji  płatniczych nie
pokazujemy na wydrukach pełnych numerów kart elektronicznych.  Drukujemy
natomiast numery kart kredytowych wypukłych, bo one nie są objęte tym
zaleceniem - tłumaczy Krzysztof Tokaj z CardPoint.

Banki będą musiały  lepiej zabezpieczyć posiadaczy kart dopiero w połowie
2005 r. Wtedy - na mocy  dyrektyw Unii Europejskiej - pojawi się obowiązek
m.in. obligatoryjnej  autoryzacji zapisanego na pasku magnetycznym kodu
CVC2/CVV2.

Bank, który  się nie zastosuje do dyrektywy, będzie obciążany pełną
odpowiedzialnością za  skutki ewentualnych transakcji przestępczych. Na
razie banki z reguły  uwzględniają reklamacje okradzionych w sieci
klientów. Tyle że w naszych  warunkach trwa to zwykle kilka tygodni i
niekiedy kosztuje pechowego posiadacza  karty sporo nerwów.

Póki co Anna Znamirowska-Staczek z Multibanku zaleca  osobom niezbyt często
korzystającym z płatności kartami w internecie blokowanie  możliwości tego
typu transakcji. - W razie potrzeby zawsze można aktywować taką  usługę, a
potem znów ją zablokować - mówi przedstawicielka Multibanku. Niestety,  nie
wszystkie banki dają możliwość łatwego blokowania i aktywowania karcianych
płatności internetowych.