Karty płatnicze z możliwością dokonywania transakcji zbliżeniowych pozwalają szybko i wygodnie regulować drobne płatności. Jednak wielu użytkowników zastanawia się, czy ta metoda płacenia nie wystawia ich na celownik złodzieja oraz jak zabezpieczone są ich pieniądze, gdy korzystają z transakcji zbliżeniowych?

Kartą lub smartfonem

Płacąc np. za zakupy kartą płatniczą, zazwyczaj musimy włożyć ją do terminala i (najczęściej) wpisać oraz potwierdzić numer PIN, aby płatność została zrealizowana. Operacje zbliżeniowe przyspieszają i ułatwiają ten proces. W ten sposób można dokonywać płatności za pośrednictwem nie tylko karty, ale również telefonu komórkowego. I właśnie płacenie zbliżeniowo smartfonem znalazło wielu zwolenników, zwłaszcza wśród młodszych posiadaczy rachunków płatniczych. W tym przypadku nie trzeba mieć połączenia internetowego, wystarczy, że karta SIM jest wyposażona w moduł NFC, który trzeba aktywować za pomocą ustawień aparatu. Następnie, korzystając z aplikacji, włącza się opcję płacenia telefonem. Aparat przykłada się do terminala w sklepie, tak samo jak kartę zbliżeniową. Nie trzeba włączać w tym momencie aplikacji. Istnieje też nowszy system, wykorzystujący technologię HCE. W takim przypadku telefon łączy się z chmurą internetową, w której zapisane są dane karty płatniczej klienta. Aby zapłacić, wystarczy przyłożyć aparat do terminala przy kasie. Dzięki tej aplikacji możemy zapłacić za drobne zakupy, ale jak na razie nie wypłacimy gotówki z bankomatu. Większe możliwości daje system BLIK. Kiedy chcemy wypłacić pieniądze z bankomatu, zamiast używać karty płatniczej, włączamy w telefonie aplikację banku i generujemy jednorazowy 6-cyfrowy kod BLIK. Wystarczy ten kod wpisać na klawiaturze bankomatu i potwierdzić transakcję za pomocą aplikacji w telefonie. W taki sam sposób z tego systemu można korzystać, płacąc za zakupy w sklepie albo w internecie.

Z technicznego punktu widzenia nie ma przeszkód, by rolę karty zbliżeniowej mógł odegrać nie tylko smartfon, ale także brelok przy kluczach czy zegarek albo długopis. Jak to możliwe?

Karta zbliżeniowa (nazywana też bezstykową) ma wbudowany mikroprocesor, pamięć i antenę. Odczyt danych z karty odbywa się bezprzewodowo, z wykorzystaniem zjawiska indukcji elektromagnetycznej. Sygnał jest odbierany przez terminal płatniczy i odpowiednio interpretowany. Dokładnie ten sam mechanizm – wbudowany w plastikowa kartę – może zostać zainstalowany praktycznie w dowolnym, innym przedmiocie, na przykład telefonie, zegarku czy… długopisie.

Mechanizm szybkiej i wygodnej płatności bezstykowej zyskał w Polsce wielu zwolenników. Pod względem dokonywanych transakcji bezprzewodowych już w 2013 roku Polska była europejskim liderem. W październiku 2013 roku mieliśmy aktywnych 16 mln kart bezstykowych. Do końca pierwszego kwartału 2016 roku ta liczba niemal się podwoiła – Polacy korzystali już z niemal 30 mln takich kart.

Ale jak wygląda bezpieczeństwo naszych pieniędzy, gdy korzystamy z tak popularnych zbliżeniówek? Jeśli mechanizm karty jest wzbudzany do działania przez mechanizm z zewnątrz, to może rodzić się obawa, że ktoś niepowołany może, bez naszej wiedzy, zewnętrznym urządzeniem wykraść dane naszej karty i wyczyścić konto, wykorzystując mechanizm technologii bezstykowej.

Liczne zabezpieczenia

Karta zbliżeniowa posiada wiele zabezpieczeń chroniących nasze pieniądze zgromadzone na koncie. Jakie to zabezpieczenia?

Operacje finansowe dokonywane metodą zbliżeniową nie wymagają zatwierdzania numerem PIN tylko w sytuacji, jeśli wysokość transakcji nie przekracza 50 zł. Jeżeli za zakupy trzeba zapłacić więcej, wtedy należy zatwierdzić płatność ­PIN-em. Jednorazowo, bez znajomości kodu, złodziej jest więc w stanie ukraść z naszego konta maksymalnie 50 zł. Oczywiście to rodzi obawę, że oszust będzie dokonywał wielu transakcji na kwoty nieprzekraczające wspomnianego limitu. Jednak według stosowanych zasad klient odpowiada za nieautoryzowane płatności zbliżeniowe jedynie do kwoty 50 euro (tj. nieco ponad 200 zł). Powyżej tej kwoty odpowiedzialność przejmuje wydawca karty.

Kolejnym zabezpieczeniem karty bezstykowej są tzw. liczniki operacji. Większość wydawców kart ma ustanowione dla nich limity ilości dopuszczalnych transakcji zbliżeniowych dziennie. Najczęściej można użyć w ten sposób karty nie więcej niż 5 razy w ciągu doby. Czasami zdarza się, że limit jest inny, więc warto przy odbieraniu karty dowiedzieć się, ile operacji zbliżeniowych będzie można wykonać kartą jednego dnia.

Używając telefonu do płacenia zbliżeniowo, dobrze jest wyłączać moduł NFC i uruchamiać go dopiero przy kasie. Należy też dbać o regularne aktualizowanie systemu operacyjnego, aplikacji mobilnej i programu antywirusowego w swoim urządzeniu.

Łatwiej ukraść gotówkę

A co sięstanie, jeśli haker sczyta dane karty w miejscu publicznym – pełnym ludzi centrum handlowym albo w zatłoczonym pociągu? Można sobie wyobrazić, że haker przeciska się między ludźmi i ukrytym czytnikiem kopiuje dane z naszej karty. Taka możliwość została zresztą poddana gruntownej analizie przez Komisję Nadzoru Finansowego. Okazuje się, że oszust może w ten sposób zdobyć jedynie numer karty i datę jej ważności. Aby dokonać płatności kartą w internecie, potrzebuje jeszcze kodu CVV/CVC.

Zresztą dokonanie niekontrolowanej przez właściciela transakcji kartą zbliżeniową w tłumie jest niezwykle trudne, bo karta bezstykowa sama z siebie nie wysyła żadnego sygnału. Aktywuje się na bardzo krótki moment na polecenie czytnika zbliżeniowego połączonego z terminalem płatniczym, po wprowadzeniu przez sprzedawcę danych potrzebnych do przeprowadzenia transakcji. Z kolei czytnik zbliżeniowy, aby nawiązać połączenie z kartą, potrzebuje bardzo małej odległości od niej (kilku centymetrów), a karta musi być ułożona płasko względem tego urządzenia. Nie wystarczy po prostu przejść obok terminala płatniczego.

Nieprzydatna byłaby też próba przechwycenia sygnału karty w czasie dokonywania płatności i próba zapisania tych danych na czystej karcie, ponieważ każda transakcja jest szyfrowana. Przypisywany jest jej jednorazowy, unikatowy kod, którego nie można wykorzystać powtórnie przy dokonywaniu innych płatności.

Teoretycznie możliwe jest też, by dwóch oszustów przy użyciu dwóch telefonów wyposażonych w technologię NFC mogło zapłacić za zakupy, ściągając dane z karty osoby znajdującej się w zupełnie innym miejscu. Jednak z przeprowadzonych przez Komisję Nadzoru Finansowego analiz wynika, że po pierwsze dwóch przebywających w innych miejscach oszustów musiałoby się doskonale zsynchronizować w czasie (co do pół sekundy), a po drugie liczyć na to, że w tłumie, gdzie mnóstwo ludzi ma różnego rodzaju karty wysyłające sygnały, ich sprzęt nie będzie podatny na silne zakłócenia sygnału. Przy zgraniu tych dwóch czynników mogliby liczyć na udaną kradzież kwoty nie przekraczającej… 50 zł.

Jeżeli poznamy i będziemy zachowywali opisane wyżej zasady bezpieczeństwa, możemy realizować płatności za pomocą kart zbliżeniowych czy smartfonów bez obaw, że ktoś w jakiś sposób ukradnie nasze pieniądze.•

Więcej o ekonomii na stronie www.nbp.pl. Zainteresowała cię treść artykułu? Podziel się z najbliższymi! Zaproś ich do odwiedzenia strony www.gosc.pl/Przewodnik_ finansowy, gdzie zamieszczamy kolejne odcinki cyklu „Przewodnik finansowy”.

Wygraj nagrody!

Atrakcyjne nagrody zostaną rozlosowane wśród osób, które: • rozwiążą quiz lub wypełnią ankietę dotyczącą treści artykułu z cyklu „Przewodnik finansowy” dostępne na stronie gosc.pl/Przewodnik_finansowy • rozwiążą krzyżówkę, znajdującą się na ostatniej stronie dodatku telewizyjnego, i odczytają hasło utworzone z ponumerowanych liter.