Specjaliści od bezpieczeństwa ostrzegają: wraz z rosnącą liczbą kart zbliżeniowych rośnie też ryzyko utraty zapisanych na nich danych. Na polskim rynku dotyczy to już 5,8 mln Polaków, którzy mają karty w technologii zbliżeniowej (pozwalają płacić za zakupy do 50 zł bez konieczności wpisywania PIN). Choć w I półroczu tego roku wykonali za ich pośrednictwem niewiele transakcji – zaledwie 3,8 mln – liczba samych kart rośnie, bo coraz więcej banków wydaje wyłącznie zbliżeniówki. Firma Polasik Research szacuje, że do końca roku będzie ich już 10 mln. Żeby stracić zapisane na nich dane, wcale nie trzeba często używać karty. Wystarczy znaleźć się w nieodpowiednim miejscu w nieodpowiednim czasie.

– Zapisane na nich dane można bez problemu skopiować z odległości 10 cm. Wystarczy, że zbliżę się z odpowiednim czytnikiem do kogoś w kolejce czy autobusie, aby sklonować dane – mówi Lukas Grunwald, specjalista od bezpieczeństwa IT z firmy NeoCatena Networks.

Wczoraj w Warszawie skopiował dane z karty BZ WBK MasterCard. Sczytał z niej wszystkie dane zapisane na karcie. – Nie ma tylko imienia i nazwiska, bo to karta pre-paid. Ale to wystarczy, aby pobrać z tej karty kilkadziesiąt złotych – twierdzi Lukas Grunwald.

W podobny sposób, według niego, można sczytać dane z kart kredytowych, które też stosują technologię bezstykową. Jedyną rzeczą, której nie można w ten sposób ukraść, jest kod CVV, nadrukowany fizycznie na każdej karcie. Bez tego kodu nie można wykonywać transakcji internetowych. – Ale nie wszystkich. Mając dane osobowe, numer karty i datę ważności, można dokonywać zakupów internetowych w niektórych sklepach. Niekoniecznie musi to być w Polsce – podkreśla Lukas Grunwald.

Wraz z rosnącą liczbą kart zbliżeniowych to może być coraz większym problemem. – Wiele osób, szczególnie starszych, nie orientuje się w temacie i nie jest w stanie zorientować się, że ktoś podbiera jej z konta drobne kwoty. Poza tym z punktu widzenia prawa może to być potraktowane jako zwykłe wykroczenie. Poszkodowanemu będzie natomiast bardzo trudno udowodnić, że transakcję przeprowadzono bez jego wiedzy – dodaje prof. Ryszard Krajewski, kierownik Katedry Kryminalistyki Uniwersytetu Wrocławskiego.

Przedstawiciele banków i organizacji płatniczych – Visa i MasterCard – uspokajają, że karty zbliżeniowe są całkowicie bezpieczne i nie dotyczy ich problem jakichkolwiek kradzieży. Według stanowiska MasterCard nawet gdyby doszło do sczytania danych z karty, takich jak numer konta i data ważności, to są one bezużyteczne. Zdaniem operatora nie można w ten sposób zrobić zakupów w internecie, gdyż sprzedawca i tak poprosi o kod CVC2 nadrukowany na karcie. Nie można go sczytać z jej pamięci. Są jednak sklepy, które mogą nie sprawdzić CVC2.


– Sprzedawca ma obowiązek sprawdzić ten kod. Jeśli tego nie zrobi, a transakcja okaże się fałszywa, to właściciel sklepu ponosi straty – dodaje Jakub Kiwior, wiceprezes Visa Europe, odpowiedzialny za rynek w Polsce.

Podkreśla też, że nie można wyprodukować fałszywej zbliżeniówki, bo w mikroprocesorze karty zapisane są specjalne klucze, których nie można skopiować. Przynajmniej na razie.

Bardziej liczy się szybkość dokonywania transakcji niż bezpieczeństwo

W większości banków klienci mogą wybrać, czy chcą używać karty tradycyjnej, czy zbliżeniowej. Ale bankowcy deklarują, iż całkowicie przejdą na technologię zbliżeniową. Karty bezstykowe rozdaje już np. PKO BP, a od października na wydawanie kart wyłącznie w tej technologii zdecydował się mBank.

Bez podania kodu PIN można nimi dokonywać transakcji do 50 zł. Po przekroczeniu tej sumy system wymusi podanie kodu PIN na użytkowniku. Klienci nie mają natomiast możliwości samodzielnej zmiany ustawień, tak by każda płatność musiała być autoryzowana PIN. To wymóg organizacji płatniczych, dla których priorytetem jest szybkość przeprowadzania transakcji o niewielkich wartościach.

Bankowcy podkreślają, że zgodnie z obowiązującymi przepisami ewentualna strata klienta z powodu używania karty płatniczej nie może przekroczyć równowartości 150 euro. Banki zwykle jednak nie uznają reklamacji dotyczących transakcji potwierdzonych kodem PIN. Nie wiadomo, jak będzie przy zbliżeniówkach.