Zbliżenia i zagrożenia

Media regularnie informują o możliwych zagrożeniach związanych z używaniem kart zbliżeniowych, Narodowy Bank Polski postanawia zbadać ich bezpieczeństwo, o podjęcie podobnych działań zwraca się również Generalny Inspektor Ochrony Danych Osobowych (GIODO) do Komisji Nadzoru Finansowego. Praktyka coraz wyraźniej pokazuje, że rozwiązanie mające zapewnić wygodę i oszczędność czasu nie jest wolne od wad. I to wad na tyle poważnych, że przyjazna klientom technologia łatwo może stać się ich wrogiem...

Rada ds. Systemu Płatniczego (RSP) – ciało doradcze zarządu NBP - wystąpiła w ubiegłym tygodniu z propozycją przygotowania raportu na temat bezpieczeństwa kart zbliżeniowych. Wnioski mają zostać przedstawione na kolejnym posiedzeniu RSP w czerwcu. O zagrożeniach, jakie niesie ze sobą stosowanie kart zbliżeniowych, informował również GIODO podczas zorganizowanej w ubiegły piątek konferencji prasowej. Jego zdaniem technologia ta nie jest wystarczająco dopracowana, stwarza więc potencjalne niebezpieczeństwa, zarówno dla danych osobowych, jak i operacji finansowych. Właśnie dlatego potrzebna jest dokładna analiza zasad działania kart zbliżeniowych, o której przeprowadzenie GIODO zwrócił się do Komisji Nadzoru Finansowego – instytucji odpowiedzialnej za bezpieczeństwo transakcji finansowych w Polsce.

W swoim wystąpieniu Inspektor zwrócił uwagę na liczne doniesienia medialne, dotyczące możliwości nieuprawnionego pozyskiwania danych osobowych właścicieli kart płatniczych. Rzeczywiście, przekazywane w prasie informacje brzmią bardzo niepokojąco – oprócz odczytu danych z kart zbliżeniowych przez nieuprawnione osoby, możliwe jest również ich klonowanie, a następnie wykorzystywanie takich klonów do dokonywania nieautoryzowanych płatności. Podobnym nadużyciom sprzyjają coraz to nowe rozwiązania proponowane przez banki. Na przykład integracja kart płatniczych z kartami SIM do telefonów komórkowych, która umożliwia dokonanie transakcji poprzez zbliżenie telefonu do czytnika, "wydłuża" jednocześnie odległość, z jakiej terminal może odczytać dane z karty – i ułatwia zadanie złodziejom.

GIODO przywołał ponadto informacje podane przez niemiecką Grupę Roboczą ds. Technologii, z których wynika, że na stosowanych w Niemczech kartach płatniczych mogą być zapamiętywane informacje dotyczące kilku ostatnich transakcji, zawierające takie dane jak: czas wykonania transakcji, numer karty sprzedawcy, kwota transakcji oraz pozostała kwota wolnych środków. Te dane można odczytać z karty klienta bez żadnych dodatkowych autoryzacji. Istotne jest również to, że transakcje dokonywane za pomocą kart zbliżeniowych bywają realizowane w trybie offline, a więc także autoryzowane bez połączenia z bankiem. To sprawia, że nawet ustalenie dziennych limitów transakcji, które mogą być wykonane przy użyciu takiej karty, nie uchroni nas przed nieautoryzowanymi transakcjami na większe kwoty.

Dodatkowym utrudnieniem jest fakt, iż karty zbliżeniowe bywają wręcz narzucane klientom banków. Visa podaje, że w Polsce na 21 mln wydanych kart z jej logo 8 mln to właśnie "zbliżeniówki" – co czyni nas trzecim po Wielkiej Brytanii i Turcji największym poligonem doświadczalnym tej technologii na świecie. Tym bardziej konieczna staje się dokładna analiza jej działania. Odpowiedzi KNF na wystosowany przez GIODO wniosek można się spodziewać w ciągu miesiąca.

Barbara Gubernat

Polecamy:

Panoptykon: Karty zbliżeniowe – wygodne, ale niebezpieczne