Пін-код перестав бути надією захистом грошей на банківській картці. Челябінці випадково з'ясували, що після введення помилкового пароля і натискання кнопки «скасування» платіжні термінали магазинів проводять транзакцію. Пролом в платіжній системі або тонкощі налаштувань - розбирався сайт ChelFin.ru.
Мимоволі «відкриття» здійснила мешканка Челябінська Анастасія. «Розраховуючись в магазині по карті чоловіка, випадково ввела пін-код від своєї зарплатної і натиснула червону кнопку. Але термінал замість того, щоб скасувати оплату, зробив транзакцію. Ті, що стояли в черзі покупці спочатку очікували, що каса зависне, але побачивши таке, були просто в шоці! Касир навіть посміялася, мовляв, залиште нам карту, і ми гульнемо », - розповіла вона.
Виявилося, що ситуація, що склалася - не якесь упущення банку або платіжної системи, а випадковий збіг налаштувань карти і терміналу. «У банківських карт забиті в налаштуваннях різні пріоритети підтвердження особи власника. Чи будете ви вводити пін-код або розпишетеся на чеку, залежить від домовленості банку-емітента та банку-еквайра - власника торгового терміналу. Кожен з них становить CVM-список, в якому вказує бажані способи верифікації. При проведенні оплати по карті ці списки порівнюються і вибирається метод, яких допустимо для обох сторін », - розповів керівник оператора платежів« Процесингове агентство »Андрій Ричков.
У платіжній системі Visa зазначили, що проведення таких операцій не є вразливістю, але важливою функціональністю, яка дозволяє банкам більш акуратно збалансувати зручність і безпеку проведення платежів. «Відмова власника від введення пін (PIN Bypass) є стандартною функцією використання чіпових карт, зафіксованої в стандартах EMVCo. У таких випадках банк-еквайєр, аналізуючи ризики операції, може прийняти рішення про відхилення транзакції без передачі її в банк-емітент. Якщо банк авторизував таку транзакцію, значить він вважав її досить безпечною, щоб піти назустріч своєму клієнтові », - зазначає глава департаменту з управління ризиками Visa в Росії Олег Ськородумов.
«Єдності в питанні про те, що важливіше - підпис або введення пін-коду, у платіжних систем немає. Наприклад, Visa рекомендує встановлювати введення пін-коду, а MasterCard - перевіряти особистий підпис власника. Тому банки в Росії (як емітенти, так і еквайєри) самостійно вибирають спосіб «верифікації». Ощадбанк пропонує держателям самостійно вибрати спосіб підтвердження операції, виняток становить проведення операції по картах Maestro - по ним введення пін-коду обов'язковий », - відповіли в прес-службі Ощадбанку.
Як пояснили в банку «Уралсиб», для пластикових карт із чипом немає обов'язкової вимоги введення пароля при оплаті покупок в торгових точках. Банк, що обслуговує платіжний термінал, може сам встановлювати вимоги до ідентифікації. Покупець або вводить пароль, або ставить підпис на чеку, яка звіряється з підписом на картці.
«У терміналах Уралсиб стоять відповідні налаштування, які роблять введення ПІН-коду обов'язковим при транзакції в торгових точках. В інших банках можуть бути інші вимоги до налаштувань терміналу і питань безпеки, що не припускають введення ПІН-коду. Тоді у відповідь на пропозицію набрати ПІН-код покупець може відразу натиснути «скасування», тим самим кажучи, що він не хоче його показувати. Теж саме відбувається, якщо введений інший пароль і натискається червона кнопка. Транзакція проходить, але в цьому випадку продавець зобов'язаний видати чек, на якому розписується покупець », - пояснив начальник відділу супроводу продажів офісу банку« Уралсиб »в Челябінську Андрій Нікітін.
В якості експерименту кореспондент ChelFin.ru спробував розплатитися в супермаркеті, ввівши інший пароль. Після натискання червоної кнопки на екрані з'явився червоний знак «Х», повідомляє про відмову від пароля, але оплата не пройшла. Найімовірніше, настройки карти або терміналу виявилися іншими. Однак випадок Анастасії далеко не єдиний. З подібними ситуаціями стикалися жителі інших міст Росії, розраховуючись на автозаправках, в кафе та інших закладах.
«Здійснення платіжної операції по банківській карті в торговій точці - складний технологічний процес, що складається з великої кількості етапів. При цьому у кожного банку-емітента і у кожного банку-еквайра існують свої правила безпеки і настройки ІТ-систем по картах і терміналів відповідно », - розповів прес-секретар прес-секретар ВТБ24 в УрФО Андрій Бочаров.
Як повідомили в одному з банків, з липня 2015 року випускаються тільки чіпові карти. Банківські картки з магнітною смугою більше випускатися не будуть.
Виходить, що на пароль можна сподіватися не завжди. Шахраї, заволодівши пластиком, хоч і не переведуть у готівку кошти, але цілком можуть закупитися в найближчому магазині. Але захистити свої гроші можна, якщо уважно стежити за збереженням карти. При виявленні пропажі потрібно терміново зателефонувати в банк і попросити, щоб карту заблокували. Якщо шахрай все ж встиг розплатитися по карті, транзакцію можна оскаржити. «Ви йдете в банк і пишіть заяву. Торгова точка повинна надати чек з вашим підписом. Якщо вона не ваша, операція заперечується і гроші повертаються », - додав Андрій Нікітін. Тому при отриманні картки рекомендується відразу ж ставити свій підпис на ній. Якщо касир запідозрить недобре, він може зажадати паспорт, щоб звірити прізвище та ім'я на карті з тим, що написано в документі.
Експерти також відзначають, що у клієнтів деяких банків є можливість вибрати спосіб верифікації і навіть змінити пріоритет способу підтвердження особи. Для цього потрібно звернутися у фінансову організацію.