Skontaktował się ze mną Maciej Gajewski z Message House, agencji PR obsługującej firmę Visa Europe. Oto oficjalne stanowisko w sprawie luki, której dotyczył artykuł Jak zrobić zakupy na (prawie) milion, płacąc zbliżeniowo bez podawania PIN-u? Badacze już to wiedzą:

Eksperymenty przeprowadzone przez zespół z Newscastle nie uwzględniały wielowarstwowego systemu zabezpieczeń działającego w ramach systemu Visa - tymczasem w świecie rzeczywistym, po to żeby jakakolwiek transakcja mogła zostać zrealizowana, na każdym poziomie tego systemu zabezpieczeń muszą zostać spełnione określone wymogi. Po dokonaniu dokładnej analizy doniesień zespołu z Newcastle uważamy, że nie są one powodem do niepokoju, ponieważ nie przedstawiają realnego zagrożenia w świecie rzeczywistym.

Na walkę z oszustwami przeznaczamy rocznie 100 mln euro i ciągle usprawniamy stosowane zabezpieczenia systemu płatniczego - dzięki czemu stopa transakcji nieuprawnionych w Europie wynosi obecnie średnio poniżej 5 centów na każde 100 euro wartości transakcji. Jesteśmy przekonani, że nasz system płatności zbliżeniowych umożliwia dokonywanie transakcji w sposób bezpieczny i wygodny.

Maciej Gajewski podkreślił, że przesłane stanowisko odnosi się do odsetka transakcji nieuprawnionych jako średniej dla wszystkich transakcji w Europie, tj. zaledwie 0,05% wartości płatności dokonywanych kartami Visa. W Polsce wskaźnik jest jeszcze lepszy - jest ok. dziesięciokrotnie niższy od średniej europejskiej.

W poprzednim artykule zaznaczyłam, że nabicie transakcji na terminalu nie oznacza jeszcze jej przeprowadzenia. Czytelnicy zgodzili się z tym w komentarzach, a przedstawiciel Visy doprecyzował, że transakcje dokonywane kartą autoryzuje bank, który ją wydał, a w ramach systemu płatniczego funkcjonują dodatkowe zabezpieczenia, m.in. na poziomie agentów rozliczeniowych obsługujących akceptantów.

Odnosząc się do transakcji offline, Maciej Gajewski stwierdził, że - zgodnie z wytycznymi Visy - agent rozliczeniowy nie może zaakceptować transakcji zbliżeniowej powyżej ustalonego dla danej karty limitu zapisanego w mikroprocesorze, a już szczególnie nie może dopuścić transakcji zbliżeniowej na kwotę powyżej 50 zł bez potwierdzenia kodem PIN.

Fot. Ulises Sepúlveda Déniz / Shutterstock

Korzystne zmiany w regulaminach banków

Z informacji przekazanych mi przez Macieja Gajewskiego wyłuskałam też inną dobrą wiadomość dla użytkowników płatności bezstykowych. Otóż prawie wszystkie banki wdrożyły już rekomendację Rady ds. Systemu Płatniczego przy NBP, przyjętą na posiedzeniu 30 września 2013 r. Przewidywała ona m.in. wprowadzenie ograniczenia odpowiedzialności użytkownika karty za ewentualne transakcje nieuprawnione do kwoty 50 euro w przypadku banków przygotowanych do wydania klientowi karty bez zbliżeniowości oraz 0 euro w stosunku do banków, które takiej opcji nie zaproponują.

Przedstawiciel Visy przypomniał, że - niezależnie od rekomendacji Rady - zgodnie z obowiązującym w Polsce prawem odpowiedzialność użytkownika karty za ewentualne transakcje nieuprawnione jest ustawowo ograniczona do równowartości 150 euro, a po zastrzeżeniu karty cała odpowiedzialność spoczywa już na banku, który ją wydał. Wiele banków jeszcze bardziej ogranicza odpowiedzialność finansową użytkowników kart i/lub oferuje dodatkowe ubezpieczenie na wypadek utraty karty, które chroni go przed odpowiedzialnością do 48 godzin, a nawet do 72 godzin przed zgłoszeniem utraty karty - poinformował Maciej Gajewski.