Ako bolo možné neobmedzene nakupovať bezkontaktnou kartou

Andrej Probst, 9. október 2015, Bezpečsnoť, čítalo 3157 ľudí

Bezkontaktné karty sú na Slovensku a v Českej republike dnes už samozrejmosťou. Ich zavádzanie do praxe bolo relatívne jednoduché. Ľudia boli zvyknutí na kontaktné karty. Prechod na bezkontaktnú technológiu bol prirodzený a zvýšil komfort pri drobných platbách. Jedna banka v Českej republike sa pri uvedení svojej bezkontaktnej karty trošku potrápila, keď nechtiac umožnila svojim klientom platiť bezkontaktnou kartou neobmedzene a to s nulovým zostatkom na kartovom účte. Ako? To si teraz ukážeme. Treba podotknúť, že chyba je už dávno odstránená.

Rýchla a pohodlná platba bezkontaktnou kartou

Platba bezkontaktnou kartou sa snaží o to, aby z pohľadu držiteľa karty prebehla čo najrýchlejšie a najpohodlnejšie. K tomu slúžia okrem iného tieto dve vlastnosti:

  • Platba nevyžaduje potvrdenie PINom.
  • Platba prebieha v takzvanom offline režime. To znamená, že platobný terminál, ku ktorému bola priložená bezkontaktná platobná karta, sa nespojil s vydavateľskou bankou karty v okamihu priloženia. Terminál obchodníka nevie, či karta nie je náhodou zablokovaná, alebo či sú na karte dostatočné prostriedky, ale platbu akceptuje a považuje čiastku za uhradenú. Systém obchodníka spravidla na druhý deň odošle do vydavateľskej banky k zaúčtovaniu všetky platby kartami a až v tomto momente sa z účtu klienta presúvajú peniaze od klienta k obchodníkovi. Preto presun peňazí z karty k obchodníkovi trvá aj niekoľko málo pracovných dní. Zostatok na účte klienta sa zníži až po tomto zúčtovaní. Pre doplnenie, pri online platbe s PINom, sa overuje dostatočný zostatok na účte klienta a ponižuje sa o výšku úhrady hneď pri potvrdení platby.

Kvôli bezpečnosti sa tento platobný komfort vzťahuje len na platby:

  1. s limitom na jednu platbu do 500 korún, resp. 20 Eur,
  2. s obmedzeným počtom po sebe idúcich bezkontaktných platieb do limitu z prvého bodu. Samotná karta si v sebe počíta, koľko krát za sebou ňou bolo zaplatené bezkontaktne. Keď sa tento počet dosiahne, platba si automaticky vyžiada online platbu so zadaním PINu, i keď pôjde o platbu do 500 korún, resp. 20 EUR.

Ako neobmedzene platiť?

Problém bol v počítadle po sebe idúcich bezkontaktných platieb. Ten sa vynuluje vždy pri online platbe s PINom, kedy sa preveruje zostatok na účte. Ak by bol zostatok záporný, karta bude vždy vyžadovať PIN. Banka však mala nulovanie počítadla nastavené pri akomkoľvek použití PINu. Napríklad aj pri zmene PINu karty na bankomate. Držiteľovi karty tak stačilo získať účet u banky a k nemu dostať bezkontaktnú kartu. Na účet stačilo vložiť minimálnu sumu a klient mohol ísť nakupovať. Nakupoval do výšky jednorazového limitu na jednu transakciu. Vedel, koľko krát po sebe môže takto platiť bez zadania PINu. Potom na bankomate zmenil PIN karty, počítadlo sa vynulovalo a šťastný držiteľ karty mohol ísť nakupovať znovu.

Po zaslaní transakcií obchodníkom do vydavateľskej banky sa ponížili zostatky na kartách o uskutočnené platby. Tí, čo chybu s počítadlom zneužili, sa dostali do záporných čísiel, čo ich prezradilo. Banke neostalo nič iné len chybu opraviť a vymôcť utratené peniaze od podvodníkov.

Aké ponaučenie z toho plynie?

Pri zavádzaní novej technológie je dobré zamyslieť sa nad zneužiteľnosťou novej technológie. Nie vždy je samozrejme možné domyslieť všetky dôsledky. Preto je potrebné po spustení novej služby do života nejaký čas starostlivo sledovať, ako sa nová služba využíva. Každú vec otestuje najlepšie až sám život. Potrebné je však byť pripravený zasiahnuť včas a prípadné chyby rýchlo opraviť. V prípade tejto banky sa to podarilo.

Čo Ty na to?





Čo na to ostatní?

Miro, 13. október 2015 20:27:50

Některé banky počítadlo nepoužívají nebo ho mají nastaveno hodně vysoko (možná omylem?), a tak můžeš udělat i dvacet bezkontaktních transakcí bez PINu třeba po stovce. Za ten komfort rychlé platby to ale stojí :)