Miesiąc temu zrobiło się głośno tym, że zabezpieczenia kart zbliżeniowych są w fikcyjne. Brak autoryzacji za pomocą kodu PIN w połączeniu z tzw. trybem offline powodował, że osoby niepowołane mogły zrobić duże zakupy na cudze konto, nawet przekraczając limit debetu. Oczywiście banki nie kwapiły się, żeby oddać pieniądze. 

Banki nie były głuche na doniesienia prasy. Nagle okazało się, że ograniczenie funkcji zbliżeniowej na życzenie klienta jest możliwe lub będzie wdrażane.

To jednak nie wszystko. Jak donosi Gazeta Wyborcza, banki próbowały obciążać stratami także handlowców. Z tego powodu handlowcy zaczęli się zabezpieczać, np. żądając złożenia podpisu przy dokonaniu płatności zbliżeniowej. Gazeta Wyborcza napisała o tym w tekście pt. Znów kłopot ze zbliżeniówkami. Sprzedawcy żądają dodatkowych autoryzacji.

Autoryzacja to tylko kłopot?

Autoryzowanie płatności za pomocą podpisu wydaje się nieco archaiczne. Dziwi mnie jednak to, że Gazeta oraz wielu internautów postrzega autoryzację wyłącznie jako kłopot. Jakby nie patrzeć, jest to zabieg służący zabezpieczeniu przed kradzieżą. Mniejszym kłopotem jest złożenie podpisu niż utrata pieniędzy z konta.

Gdy miesiąc temu wybuchła burza wokół zbliżeniówek, napisałem w Dzienniku Internautów felieton o tym, że rezygnacja z autoryzacji PIN-em jest w przypadku technologii zbliżeniowych niezrozumiała. W technologii zbliżeniowej nie ma nic, co uzasadniałoby rezygnację z autoryzacji.

W nawiązaniu do opisywanych teraz "kłopotów" ze zbliżeniówkami powtórzę jedną z tez tamtego felietonu. Technologia zbliżeniowa zmienia tylko sposób odczytywania karty przez terminal. Poza tym nie zmienia się nic. Równie dobrze moglibyśmy pozwalać na wypłacanie z bankomatu małych kwot bez PIN-u. Byłoby to równie szybkie i wygodne, jak płatności zbliżeniowe, ale czy byłoby rozsądne i bezpieczne?

Obecnie sprzedawcy żądający podpisu przy płatnościach zbliżeniowych nie żądają dodatkowej autoryzacji. Oni żądają jakiejkolwiek autoryzacji, a to jest o wiele rozsądniejsze niż jej całkowity brak.

Kto ma płacić za wygodę?

Nazywanie autoryzacji "kłopotem" jest dla mnie dziwne, ale Gazeta Wyborcza oraz redaktor Maciej Samcik posuwają się o krok dalej.

- Wątpliwości byłoby mniej, gdyby banki nie sprawiały klientom problemów przy oddawaniu pieniędzy - czytam w Wyborczej.

Redaktor Samcik sugeruje - jak rozumiem -  że płatności zbliżeniowe powinny być tak wygodne, jak dawniej, ze zgodą na obniżony poziom bezpieczeństwa. Jeśli dojdzie do kradzieży, banki powinny bez szemrania oddawać pieniądze i wszystko będzie fajnie.

Moim zdaniem to szaleństwo, by banki stale płaciły za lukę bezpieczeństwa, którą można zwyczajnie załatać. Nie może być tak, że banki będą płacić za naszą wygodę, a pieniądze z tych opłat trafią ostatecznie do złodziei.

Rozwiązanie? Reszty nie trzeba...

Karty zbliżeniowe złamały podstawową zasadę elektronicznego bezpieczeństwa. Wprowadziły elektroniczne płatności, które nie są autoryzowane. Nie jest ważne, czy są to płatności na kwotę 10, 50 zł czy może 1000 zł. Żadna złotówka nie powinna elektronicznie zmieniać właściciela bez realnej autoryzacji.

Jeśli ktoś nie ma czasu na wstukanie PIN-u albo składanie podpisu, powinien się przerzucić na gotówkę. Staje się ona bardzo szybką formą płatności, jeśli wykładamy na ladę grube banknoty i mówimy "reszty nie trzeba". To nawet szybsze niż płatności zbliżeniowe. Jest to także kosztowne, ale przynajmniej za wygodę płaci ten, komu jest wygodnie.