Mind több helyen lehet PayPass fizetéssel találkozni, ami egy gyors, érintéssel működő, bankkártya alapú fizetési technológia. Ma több mint 100 ezer ilyen bankkártya van a piacon, közel hatezer elfogadóhelyen – közöttük például a legnagyobb nyári zenei fesztiválokon – is lehet vele fizetni. Felvetődik azonban annak a kérdése, hogy a csilivili rendszer mennyire megbízható, ad-e lehetőséget visszaélésre?
Kártyabiztonság szempontjából az internetre nagyobb figyelmet kell szentelni, mert némileg kockázatosabb terület - mondja a szakértő. A Pénzcentrum.hu információi szerint komoly különbséget jelenthet, hogy az ügyfél hazai vagy külföldi kereskedőnél vásárol. Nagyon sok külföldi oldal úgy működik, hogy a kereskedő oldalán kell megadni a kártyaszámot, a szállítási címet - ez pedig jelenthet olyan kockázatot, hogy ha ott nem megfelelően kezelik az adatokat, adatvesztés következhet be (természetesen világszerte komoly szabályozási rendszer működik ennek elkerülésére). A magyar oldalak annyiban mások, hogy a fizetés általában nem a kereskedő oldalán történik, hanem az ügyfelet átirányítják a banki fizető oldalra. A banki oldalak pedig adatbiztonsági szempontból magasabb szinten állnak, azaz ha banknál van az adat, jobban lehet abban bízni, hogy az nem kompromittálódik a tranzakció folyamán.
A PayPass egy chipalapú tranzakció, tehát rendkívül biztonságos – mondta a Pénzcentrum.hu-nak Fejes Kálmán, a MasterCard Europe kártyabiztonsági szakértője. Működési elvéhez hozzátartozik, hogy egy meghatározott összeghatár alatt nem kell PIN kódot megadni (Magyarországon ez 5 ezer forint). A PayPass-fizetés esetében az ügyfél saját maga hajtja végre a tranzakciót, nem adja oda a kártyáját a pénztárosnak.
"Még egyáltalán nem találkoztunk olyan esettel, hogy a PayPass adatok megszerzésére irányuljon valamilyen támadás. Abban azonban mindig lehet egyfajta kockázat, ha elveszíti az ügyfél a kártyáját. Így, ha elveszítek egy PayPass kártyát, akkor 5000 forint alatt valaki tud ezzel vásárolni, de csak meghatározott számú tranzakció során. Ezekben a kártyákban ugyanis van egy számláló, így az érintés és PIN kód nélküli tranzakciók száma limitált. Fontos, hogy SMS-t minden esetben kaphat az ügyfél az érintésnélküli vásárlásairól is."
Egy honlapról ugyanakkor nem egyszerű megállapítani, hogy átverős-e, vagy sem, lenyúlja-e a pénzünket, vagy meg akarja szerezni kártyánk adatait. A MasterCard szakértője megosztott olvasóinkkal néhány tippet, amire érdemes figyelni internetes vásárlásnál:
"Nagyon fontos, hogy olyan honlapokat használjunk, amelyeket már korábbról ismerünk. Ha hirtelen találunk egy oldalt, valami megtetszik, és elkezdünk rajta vásárolni, érdemes előbb leellenőrizni, várni a vásárlással, megfigyelni azt, hogy egy hónappal később is ugyanazokat a körülményeket tudja-e felmutatni, mint amit korábban láttunk. Érdemes összehasonlítani, hogy megvannak-e azok a biztonsági jelek és előírások, amelyeket egy ilyen vásárláskor az embernek érdemes figyelembe venni. Ilyen például, hogy van-e például ügyfélszolgálat, telefonszám, cím, tulajdonos, üzemeltető - ezek, illetve ezek hiánya árulkodó jelek lehetnek. A weben egyre több helyen jelenik meg a kártyatársaságok biztonságos fizetőoldalt jelölő szimbóluma. Ez a MasterCard-nál a MasterCard Secure Code."
A PIN kódot kitalálni szinte lehetetlen, hacsak nem olyan egyértelmű kombinációkat ad meg a kártyabirtokos, mint 1234 vagy a születési dátum. Ezeket feltétlenül kerülni kell. Jó tipp lehet olyan PIN kódot választani, ami jellemző az ügyfélre, de csak ő tudja. Ilyen lehet, hogy melyik évben érettségizett, vagy egy történelmi dátum, ami fontos az ő életében, és soha nem fogja elfelejteni.
A PIN kódot a kártyáról nem lehet megszerezni. A kártyán vannak olyan biztonsági jelek, a PIN kód azonosításához szükséges információk, amelyekből a titkosítást visszafejtve a bank azonosítani tudja a kártyát, de maga a PIN kód soha nem szerepel a kártyán. Ezért nagyon fontos, hogy az ügyfeleket mindig tájékoztassuk arról, hogy ne tartsák a kártya mellett a PIN kódot, pláne ne írják rá, a PIN kódot tartalmazó levél ne legyen a táskában, és lehetőség szerint ne írják be a mobiltelefonba sem."
Az ügyfélnek tudnia kell azt is, hogy a bank milyen információt kérhet tőle, és milyet nem, főleg akkor, ha a bank hívja fel őt. Vannak olyan esetek, amikor a bank hívja fel az ügyfelét, akár marketingcélból, akár egy tranzakciót szeretne ellenőrizni, de azon túlmenően, hogy a tranzakció részleteiről kérdezzen az ügyféltől, a PIN kódot itt sem kérdezheti meg. A banknak ugyanis semmi szüksége a PIN kódra. Ilyen eset a szakértők egyöntetű véleménye szerint kizárható.