Po EMV Shift, kreditní karty stále nejsou tak bezpečné

Je to více než šest měsíců od doby, kdy se pravidla týkající se podvodů s kreditními kartami změnily, což vedlo k posunu od starých kreditních karet magnetického proužku na karty vložené s EMV čipy. Pouze 20% terminálů kreditních karet v USA bylo aktivováno pro použití čipů v dubnu 2016, podle poradenské skupiny Mercator. A pouze 60% všech kreditních karet bylo aktualizováno čipy.

Přesto jste mohli projít novým procesem vložení čipové karty do čtečky, čekáním na ověření transakce a náhodou, když necháte kartu příliš dlouho.

Tento proces byl silně podporován tím, že se lépe staráte o své údaje. Ale pravděpodobně není tak bezpečné, jako by mohla být transakce EMV. A je poměrně nízká barva, jak bezpečná žádný EMV transakce může být. Součástí toho jsou limity technologie a část je skutečností lidského chování.

Spotřebitelské chování jako bod

Některé problémy v přechodu EMV byly široce známé. Za prvé, transakce mohou být pomalé. Za druhé, stále ověřujete svoji totožnost staromódním způsobem, podepíšete své jméno - a pro menší transakce to ani nemusíte dělat.

"Transakce budou trvat podstatně déle u prodejních pultů obchodů, které vyžadují, aby čipové karty byly ponořeny do čteček čipových karet - přinejmenším na krátkou dobu, protože se obchodníci učí urychlit proces," říká Brian Krebs, novinář a bezpečnost expert na Krebse o bezpečnosti. "Také pravděpodobně bude mnohem více lidí opouštět karty uvnitř strojů a zvyšovat ztráty a ukradené [karty] ztráty pro banky, přinejmenším v blízké době, dokud spotřebitelé zvyknou na zařízení."

Spotřebitelé v Evropě v některých případech používají štěpené kreditní karty v letech - desetiletích. Kvůli dodatečné bezpečnosti však karty vyžadují od držitelů karet, aby zadali PIN kód, aby ověřili svou identitu během transakce. Tak proč USA nepřijaly systém čipů a PINů místo čipu a podpisu? Hlavním faktorem bylo uznání emitentů, jak těžké je přinést změnu v chování spotřebitelů.

"NÁS. spotřebitelé nejsou zvyklí na zadávání PIN s transakcemi kreditními kartami, "říká Julie Conroyová, ředitelka výzkumu v Aite Group v Massachusetts. "Mnoho emitentů, s nimiž jsem hovořil s vybraným čipovým a podpisovým protokolem, protože žádný emitent nechtěl vydávat karty, jejichž zkušenosti s uživatelem to znevýhodnily. Podle slov jednoho vydavatele bylo učení spotřebitelů namočeno místo toho, aby se dostalo dostatečné změny; nechtěli riskovat, že musí učit spotřebitele, aby změnili dvě chování současně."

Pokus zastavit podvody

Proč se spotřebitelé v USA změní něco? Hlavním důvodem bylo podvod.

V roce 2014 bylo více než 16 miliard dolarů ztraceno při celosvětových podvodech s kreditními kartami, podle The Nilsonovy zprávy, která se týká platebního průmyslu. Ze ztrát se v USA vyskytlo 48%. Tradiční magnetické proužky jsou jednodušší, protože informace uložené na proužku jsou statické nebo neměnné. Zkopírujte jej jednou a můžete vytvořit duplicitní kartu. EMV čipy však generují pro každou transakci jedinečný kód, takže informace zkopírované z jedné transakce nemohou být použity v jiné transakci.

"NÁS. spotřebitelé jsou z velké části chráněni před podvody [přímými náklady na kreditní kartu] díky regulačnímu prostředí USA a záruce nulové záruky, kterou poskytují platební sítě, "říká Conroy. Přechod na EMV je tedy spíše o ochraně vydavatelů kreditních karet před ztrátami podvodů než o ochraně spotřebitelů.

Říjen 2015 došlo k zavedení nových pravidel pro odpovědnost za podvody s kreditními kartami. Pokud dojde k podvodu, kterákoli strana, která nepoužívá technologii EMV, je odpovědná za ztráty. Pokud nebyla daná karta rozdělena na EMV, je závazek vůči emitentovi. Pokud obchodník nemá čtečku čipů EMV, obchodník nese odpovědnost. Odpovědnost by mohla být sdílena.

PIN nabízí pouze omezenou ochranu

Co se netýká rovnice odpovědnosti, je to, zda čipová karta spoléhá na PIN nebo podpis pro ověření. A pravdou je, že většina podvodů s kreditními kartami by se ani nezabránilo čipovým a PIN kódem.

"Chip-and-PIN chrání před ztraceným a ukradeným podvodem - tzn. Pokud někdo ukradne peněženku, nemůže si snadno vzít karty na nákupy," říká Conroy. Tento typ podvodu je nepatrný ve srovnání s obecnými podvody s kreditními kartami, říká Conroy.

Navíc zloději vždy najde cestu kolem zabezpečení. "Viděli jsme, na základě příkladu jiných zemí, že zločinci se dostali docela obezřetně zachytit PIN, a to buď přes skimming útoky, rameno-surfování nebo přesné kamery," říká Conroy. Vzhledem k tomu, že se PIN nezmění při každém nákupu, Conroy uvedl, že má své limity, pokud jde o schopnost účinně bojovat proti podvodům. Když se Velká Británie dostala na čip a PIN, ztracený a ukradený podvod se krátce zkrátil, ale během několika málo let se vrátil na úroveň před PINem."

EMV čipy také nemají žádnou roli v on-line transakcích, takže čipové karty jsou stejně zranitelné jako karty magnetického proužku.

Existuje bezpečnější cesta?

Conroy říká, že chip-and-PIN je v nejlepším případě krátkodobým řešením."V ideálním případě bych chtěl vidět průlomový kód PIN a přejít na jiné formy ověřování, jako jsou biometrie, ověřování mobilních telefonů atd." Říká. "V tomto procesu bychom také měli odstranit podpis - to je nákladné pro obchodníky a je neužitečné jako metoda autentizace zákazníků, jak je v současné době implementována."

Krebs navrhuje používat "žetony" jako způsob boje proti podvodům. Při tokenizaci počítače obchodníků neukládají údaje o kreditní kartě vůbec. Namísto toho ukládají číslo zástupného symbolu nebo token, které lze použít k načtení dat od emitenta.

"Tokenizace může pomoci obchodníkům zabránit ukládání dat o kartách po nějakou dobu a v procesu snižuje pravděpodobnost, že kyberkrooky budou cílit na data z karet," říká. Tokenizace by snížila hrozbu narušení údajů, což je způsob, jakým se většina spotřebitelů stala obětí podvodů s kreditními kartami.

Mobilní řešení mají vlastní omezení

Mobilní platby a digitální peněženky, jako je Apple Pay, mohou poskytnout alternativu. Ovšem společnost Conroy říká: "Zatímco některé implementace mobilních plateb, které jsou specifické pro obchodníky, jsou velkým úspěchem - Starbucks pro jednu - přijetí mobilních plateb s otevřenou smyčkou - Apple Pay, Android Pay - se pohybuje mnohem pomaleji."

Krebs vidí také bezpečnostní riziko pro mobilní platby. "Apple Pay používá formu tokenizace, ale problémy s Apple Pay v minulosti vyplynuly z laxních postupů při zápisu do bank a závislost na statických datových prvcích [jako jsou čísla sociálního pojištění nebo data narození] pro ověření, pokud jsou tyto datové prvky široce ohrožena a prodána téměř všem Američanům."

Jediná věc, která zůstane mobilní, bude pravděpodobně karta v peněžence. "Spotřebitelé jsou velmi pohodlní obchodování s kartami," říká Conroy, "a měnící se chování spotřebitelů je obtížné, takže karty budou s námi na nějakou dobu."

Ellen Cannon je spisovatelka personálu v Investmentmatome, osobním finančním webu. E-mail: [email protected]. Twitter: @ellencannon.