Co karta mówi o Tobie. Nawet najlepsze zabezpieczenia nie zastąpią świadomości użytkownika

Rynek kart płatniczych w Polsce rośnie: zwiększa się liczba kart w obiegu, jak i liczba dokonywanych nimi transakcji. Z publikowanego co kwartał opracowania Narodowego Banku Polskiego na temat kart płatniczych wynika, że w II kwartale w obiegu pozostawało ich 47,2 mln. Posiadacze kart wydali z ich pomocą 353,6 mld zł. Tymczasem jeszcze pięć lat temu było to odpowiednio 43,3 mln kart i o łącznej wartości 187,5 mld zł, a dekadę temu były to wartości aż o 20,5 proc (liczba kart) i 51,3 proc. (wartość transakcji bezgotówkowych) niższe.

Liczby to jedno, ale przy tym warto pamiętać, że każda karta płatnicza mówi o nas więcej, niż mogłoby się wydawać – zawiera dane, które wymagają szczególnej ochrony. Raport „Nadużycia w sektorze finansowym” przygotowany przez EY i ZPF zwraca uwagę, że wyłudzenia z użyciem kart płatniczych są postrzegane przez sektor finansowy jako jedno z istotnych zagrożeń. W badaniu nadużyć, ryzyko jego występowania uzyskało średnią ocenę 3,2 w pięciostopniowej skali istotności, gdzie 5 oznacza zagrożenie bardzo duże.

“Badane instytucje najlepiej oceniają swoje przygotowanie do przeciwdziałania dwóm rodzajom nadużyć. Na pierwszym miejscu znalazły się wyłudzenia z wykorzystaniem kart płatniczych (4,1). Może to świadczyć o skuteczności wdrożonych zabezpieczeń oraz efektywnym działaniu procedur detekcyjnych. Na drugim miejscu respondenci wskazali wyłudzenia kredytów i pożyczek (4,0), które, mimo że są najpowszechniej występującym typem nadużyć, stanowią obszar, w jakim instytucje czują się dobrze przygotowane. Wyniki tegorocznego badania są zbieżne z danymi pochodzącymi (…) z raportu InfoDOK, wskazującymi, że w 2024 r. udało się udaremnić 13 009 prób wyłudzeń kredytów na łączną kwotę 338,5 mln zł” – czytamy w raporcie.

Dlatego warto stosować kilka prostych zasad: nie podawać nikomu danych karty (numer, data ważności, kod CVC2), regularnie monitorować transakcje oraz korzystać z silnych zabezpieczeń mobilnych. Oprócz tego wydawcy kart wprowadzają takie zabezpieczenia jak kod PIN czy autoryzacja 3D Secure.

Przeczytaj: Nowe otwarcie na osoby wykluczone ze świata finansów. Branża chce widzieć, słyszeć i rozumieć każdego

Pokaż mi swoją kartę, a powiem Ci kim jesteś

Karta płatnicza to nie tylko środek płatniczy, to też źródło danych o użytkowniku.

Już sam typ karty – debetowa, karta premium czy korporacyjna – może sugerować status finansowy użytkownika, styl jego życia, czy jest klientem indywidualnym czy korporacyjnym oraz jak duże środki może mieć na niej dostępne.

– Już sam typ karty – debetowa, karta premium czy korporacyjna – może sugerować status finansowy użytkownika, styl jego życia, czy jest klientem indywidualnym czy korporacyjnym oraz jak duże środki może mieć na niej dostępne. To taki identyfikator cyfrowy. Natomiast dla cyberprzestępcy może stanowić potencjalną mapę naszej tożsamości finansowej – mówi Paweł Markiewicz, CEO firmy M3M Data Protection.

Na kartach kredytowych znajdują się także takie informacje jak 16-cyfrowy numer karty (PAN) i jest on unikatowym identyfikatorem. Imię i nazwisko właściciela karty znajduje się na niej w celu potwierdzenia tożsamości podczas transakcji. Data ważności karty określa, do kiedy jest ona aktywna, natomiast kod bezpieczeństwa (CVV2/CVC2/CSC) to trzycyfrowy kod umieszczony na rewersie, który jest kluczem do transakcji online. Powyższe dane są określane jako Cardholder Data (CHD) i podlegają ochronie zgodnie ze standardami bezpieczeństwa PCI i DSS.

Poza kartami fizycznymi funkcjonują też wirtualne karty, które zapewniają te same możliwości, ale nie mają swojego fizycznego odpowiednika. Dużym udogodnieniem jest możliwość łatwej i szybkiej dezaktywacji lub blokady, np. w aplikacji bankowej (podobnie w przypadku kart fizycznych).

Wcześniej wspomniany raport „Nadużycia w sektorze finansowym” wskazał, że kanał online oraz kanał mobilny są postrzegane jako najbardziej narażone na zagrożenia w dystrybucji produktów i usług finansowych. Kanał online uzyskał najwyższą średnią ocenę zagrożenia na poziomie 4,1, a kanał mobilny – 3,9. W walce z zaawansowanymi schematami nadużyć, które mogą dotyczyć transakcji kartowych, instytucje widzą duży potencjał w nowych technologiach.

Metody, które nie są jeszcze powszechnie stosowane, ale mogłyby pomóc w przeciwdziałaniu nadużyciom, to m.in. wykorzystanie AI do weryfikacji, czy dana aktywność klienta nie jest próbą dokonania kradzieży. 57 proc. respondentów (którzy nie stosują tej metody) uważa, że mogłaby ona pomóc w walce z nadużyciami.

Inną ciekawą metodą jest analiza behawioralna klienta, którą wskazało 37 proc. badanych, polega na badaniu zachowania użytkownika w środowisku cyfrowym, np. z pomocą analizy klawiatury, myszy i pozycji telefonu.

Przeczytaj: Kolorowa talia kart płatniczych. Czy wygląd „plastiku” ma znaczenie?

Bezpieczeństwo danych kontra wygoda użytkowania

Ciekawym trendem w branży finansowej, który możemy od jakiegoś czasu zaobserwować, jest przenoszenie danych użytkownika karty (numer, data ważności, imię i nazwisko) z awersu na rewers karty. Z przodu zostaje tylko logo banku i organizacji płatniczej. Ma to służyć zwiększeniu bezpieczeństwa i prywatności. Osoby postronne np. w sklepie czy w restauracji nie widzą już numeru karty i jest im np. trudniej zrobić zdjęcie w celu dalszego wykorzystania bez świadomości właściciela.

Ukrycie numeru karty i daty ważności na odwrocie zwiększa bezpieczeństwo kart kredytowych w codziennych sytuacjach.

– Ukrycie numeru karty i daty ważności na odwrocie zwiększa bezpieczeństwo kart kredytowych w codziennych sytuacjach. Proszę jednak pamiętać, że to nie chroni przed jej kradzieżą cyfrową, np. phishingiem lub wyciekiem z serwera sklepu lub kopiowaniem danych z pasków magnetycznych i chipów tzw. skimming – tłumaczy Paweł Markiewicz, CEO firmy M3M Data Protection.

Zauważa także, że realne bezpieczeństwo transakcji nie zależy od tego, gdzie są nadrukowane dane, tylko od tego czy karta ma aktywne mechanizmy takie jak 3D Secure, tokenizacja płatności czy autoryzacja biometryczna w aplikacji bankowej.

Na aspekt cyberbezpieczeństwa kładzie też duży nacisk Marcin Czugan, Prezes ZPF, który w raporcie wskazuje, że w 2024 r. w Polsce zostało zidentyfikowanych prawie 46 tys. domen internetowych powiązanych z procederem namawiania użytkowników na fałszywe inwestycje.

Ta liczba jest porażająca, zwłaszcza gdy uświadomimy sobie, że paleta sztuczek socjotechnicznych jest znacznie większa.

– Ta liczba jest porażająca, zwłaszcza gdy uświadomimy sobie, że paleta sztuczek socjotechnicznych jest znacznie większa. W przestępczym świecie rośnie rola usług phishing-as-a-service (PhaaS) – nawet osoby bez wiedzy technicznej mogą przekwalifikować się w oszustów i zarabiać na zamówionych wcześniej fałszywych stronach sklepów internetowych czy banków – mówi Marcin Czugan, Prezes Zarządu Związku Przedsiębiorstw Finansowych.

Podobne obserwacje mnożą się w branży ochrony danych.

Największym zagrożeniem nie są dziś fizyczne kradzieże, tylko cyfrowe wycieki i socjotechnika. Widzimy wiele przypadków, gdy dane kart zostały skopiowane nie przez „skimmera” w terminalu, ale przez phishing.

– Największym zagrożeniem nie są dziś fizyczne kradzieże, tylko cyfrowe wycieki i socjotechnika. Widzimy wiele przypadków, gdy dane kart zostały skopiowane nie przez „skimmera” w terminalu, ale przez phishing – fałszywe wiadomości SMS, e-maile, a nawet reklamy podszywające się pod znane marki. Takich incydentów dziś jest najwięcej na rynku. Z praktyki w M3M mogę przytoczyć przykład jednej z firm, która padła ofiarą ataku Business Email Compromise, w skrócie BEC. Pracownik, przekonany, że dokonuje opłaty kartą służbową na zaufanej platformie, wprowadził dane na fałszywej stronie – skutkiem było przechwycenie numeru karty i nieautoryzowane transakcje w Azji – dodaje Paweł Markiewicz.

Komentarz partnera cyklu

Bezpieczeństwo kart płatniczych

Trzeba jednak pamiętać, że mimo wszystko karty są jednym z najbezpieczniejszych narzędzi płatniczych z punktu widzenia klienta. Zapewniają swoiste „ubezpieczenie”, czyli możliwość przeprowadzenia chergebacku. W przypadku, gdy dane karty zostaną wykradzione, a transakcja dokonana bez wiedzy i zgody klienta, może on skontaktować się z wydawcą karty i ją zareklamować. Wydawca przeprowadza wtedy proces reklamacyjny chargeback i odzyskuje środki klienta.

Chargeback może także być wykorzystany w sytuacji, gdy klient dokonywał transakcji, ale sprzedawca obciążył go większą kwotą, nie dostarczył towaru, czy towar był wadliwy lub niezgodny z zamówieniem.

Żadna inna metoda płatności nie daje takiego zabezpieczenia.

Filip Wyszomirski

Head of Card Operations, Provident Polska

Główne wnioski

1. Karta płatnicza to nie tylko narzędzie płatnicze, lecz także nośnik danych, który pozwala odczytać status, zachowania i tożsamość finansową użytkownika – dlatego wymaga świadomej ochrony ze strony posiadacza.
2. Wyłudzenia kartowe i oszustwa online są jednym z najważniejszych zagrożeń dla sektora finansowego; instytucje wskazują, że największe ryzyko dotyczy kanału online i mobilnego.
3. Mimo zagrożeń karty pozostają jednym z najbezpieczniejszych instrumentów płatniczych dzięki mechanizmom takim jak chargeback, który chroni klientów przed skutkami wyłudzeń i nieuczciwych transakcji.

Artykuł powstał na zlecenie Provident Polska.