SPS-023-6402/12 - Zabezpieczenie kart bankomatowych przed kradzieżą danych.

Technologia płatności zbliżeniowych cieszy się w Polsce dużą popularnością. W bardzo szybkim tempie rośnie liczba transakcji dokonywanych przy użyciu kart zbliżeniowych, wzrasta także wartość przeprowadzanych transakcji. Statystyki prowadzone przez Narodowy Bank Polski pokazują również, iż tempo wzrostu liczby i wartości transakcji zbliżeniowych jest wyższe od tradycyjnych transakcji dokonywanych kartami (w rozumieniu fizycznego umieszczenia karty płatniczej w terminalu POS wraz z odczytem danych z chipa EMV umieszczonego na karcie lub - coraz rzadziej stosowany - odczyt z paska magnetycznego karty).

Jak słusznie zauważył pan poseł, aspekty bezpieczeństwa wykonywania transakcji są kluczowym aspektem, o który należy zadbać, rozwijając nowoczesne technologie płatnicze. Polski sektor bankowy przeznacza coraz to większe środki finansowe na zabezpieczenia swoich systemów informatycznych. W celu zwiększenia bezpieczeństwa posługiwania się kartami płatniczymi Europejska Rada ds. Płatności (European Payments Council), będąca największą europejską organizacją reprezentującą interesy sektora bankowego, przyjęła rynkową rekomendację mającą poprawić bezpieczeństwo obrotu kartowego opartą na standardzie bezpieczeństwa EMV, zalecając europejskiemu sektorowi bankowemu wdrożenie tego zalecenia. Standard EMV jest to specyfikacja techniczna dotycząca kart mikroprocesorowych, która powstała dzięki porozumieniu organizacji płatniczych. Specyfikacja ta ujednolica wymagania tych organizacji odnośnie do kart mikroprocesorowych, zapewniając bezpieczeństwo obrotu kartowego.

Wdrażanie tego zalecenia to przede wszystkim kwestia wyposażania kart płatniczych, obok istniejącego paska magnetycznego, w mikroprocesor (w standardzie EMV) - mamy wtedy do czynienia z tzw. kartą hybrydową - lub wyposażanie kart płatniczych tylko w mikroprocesor. Kartę płatniczą wyposażoną w mikroprocesor w standardzie EMV bardzo trudno wykorzystać w procederze skopiowania zawartości mikroprocesora w celu wykonywania nieuprawnionych płatności. Drugim aspektem wdrażania wysokiego standardu bezpieczeństwa EMV jest dostosowanie do jego wymogów całej infrastruktury płatniczej (m.in. terminale POS, bankomaty).

W Polsce (wg danych gromadzonych przez NBP) najbardziej dynamicznie rośnie liczba kart hybrydowych, czyli wyposażonych zarówno w pasek magnetyczny, jak i mikroprocesor. Na koniec marca 2012 r. kart hybrydowych było w obiegu ponad 24,8 mln sztuk. Udział kart hybrydowych wyniósł w rynku 77,4% i tym samym karty te stanowią na polskim rynku zdecydowanie dominującą kategorię kart. Istotny wzrost liczby tych kart zwiększył bezpieczeństwo wykorzystywania kart płatniczych w Polsce. Rosnąca obecność kart wyposażonych w mikroprocesor na rynku kart płatniczych jest skutkiem dostosowywania kart na polskim rynku do standardu EMV, co wynikało z wcześniej planowanego na koniec 2010 r. zakończenia migracji polskich banków na powyższy standard, obowiązujący w ramach SEPA.

Odnośnie do pytań pana posła co do standardów bezpieczeństwa płatności kartowych informuję, iż zgodnie z informacjami uzyskanymi od organizacji płatniczych działających na polskim rynku kart płatniczych (VISA i MasterCard) karty płatnicze z funkcjonalnością zbliżeniową wydawane są w Polsce w standardzie EMV, który zapewnia najwyższy poziom bezpieczeństwa transakcji. Mikroprocesor umieszczony na karcie pozwala ukryć i zabezpieczyć przed odczytaniem część danych, umożliwia też selektywny odczyt informacji zapisanych w jego pamięci, ale przede wszystkim do każdej transakcji - również wykonanej zbliżeniowo - generuje unikalne, cyfrowe podpisy, stosując do tego zaawansowane techniki kryptograficzne. Podpisy te oparte są o kod CVV (card verification value) różny dla każdej kolejnej transakcji, co oznacza, iż w przypadku sklonowania danych z karty użytkownika przez nieuprawnioną osobę osoba, która dokonała nieuprawnionego sklonowania, może wykonać tylko jedną transakcję - do wysokości limitu takiej transakcji danego banku - i to jeszcze pod warunkiem, iż osoba, której karta została sklonowana, nie przeprowadzi wcześniej płatności swoją kartą (generując kolejny kod CVV), który anuluje wcześniej wygenerowany przez złodzieja kod CVV, uniemożliwiając złodziejowi przeprowadzenie transakcji oszukańczej. Należy zauważyć, iż z jednej strony korzystanie z kart zbliżeniowych jest bardziej niebezpieczne (można bez wiedzy użytkownika karty sklonować dane), ale z drugiej strony - bardziej bezpieczne (bowiem oszukańczą transakcję można wykonać tylko raz, chyba że osoba nieuprawniona regularnie będzie odczytywała dane karty potencjalnej ofiary oraz spełnione będą założenia opisane powyżej. Należy również odnotować pojawienie się firm oferujących ochronne etui, które rzekomo miałoby chronić przed sklonowaniem danych z karty na odległość.

Osobnym zagadnieniem z dziedziny bezpieczeństwa - poza wykorzystaniem technologii zbliżeniowej do sklonowania danych z karty - jest sprawa związana z fizyczną utratą karty płatniczej.

W tym przypadku zgodnie z art. 42 ust. 1 pkt 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.

Należy też zwrócić uwagę na art. 46 ust. 2 ustawy o usługach płatniczych, który stanowi, iż płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 150 euro, jeśli nieautoryzowana transakcja jest skutkiem:

Ważnym aspektem bezpieczeństwa jest fakt, iż banki wydawcy stosują ograniczenia ilości transakcji bezstykowych, jakie można wykonać w ciągu dnia. Zwykle przy czwartej, piątej transakcji (a czasem i wcześniej) użytkownik zostanie poproszony o podanie kodu PIN. Ważnym elementem bezpieczeństwa użycia karty w technologii zbliżeniowej jest fakt, iż płatność zbliżeniowa na kwotę przewyższającą 50 zł jest możliwa tylko po podaniu przez użytkownika PIN-u, a w przypadku kart organizacji VI SA płatności na kwotę przewyższającą 50 zł są wykonywane w sposób standardowy, czyli poprzez umieszczenie karty w czytniku kart z mikroprocesorem i potwierdzeniem transakcji PIN-em.

Biorąc powyższe pod uwagę, należy wskazać, iż polski sektor bankowy wdrożył obecnie dostępne najwyższe standardy bezpieczeństwa, mające na celu m.in. przeciwdziałanie nielegalnym procederom związanym z użytkowaniem kart płatniczych, co w połączeniu z zachowaniem odpowiedniego poziomu bezpieczeństwa posługiwania się kartami płatniczymi przez ich użytkowników może przyczyniać się do minimalizowania ilości nieuprawnionych transakcji kartami płatniczymi.