Az EMV Shift ut�n a hitelk�rty�k m�g mindig nem a lehet� legbiztons�gosabbak

M�r t�bb mint hat h�nap telt el, mivel a hitelk�rtya-csal�s szab�lyai megv�ltoztak, �s a r�gi m�gnescs�kos hitelk�rty�kr�l az EMV-chipekbe �gyazott k�rty�kra v�ltottak. Az USA-beli hitelk�rtya-termin�lok mind�ssze 20% -a aktiv�l�dott a forgalomb�l 2016 �prilis�ig, a Mercator Advisory Group szerint. �s csak az �sszes hitelk�rtya 60% -�t friss�tett�k.

Mindazon�ltal el�fordulhat, hogy �tment az �j folyamatban, hogy a chipk�rty�t egy olvas�ban ragaszkodva v�rta, hogy a tranzakci� ellen�rizhet� legyen, �s a g�p megkapja, ha t�l sok�ig hagyja a k�rty�j�t.

A folyamatot er�sen t�mogatt�k, mivel jobban vigy�ztak az adatokra. De val�sz�n�leg nem olyan biztons�gos, mint egy EMV tranzakci� lehet. �s van egy meglehet�sen alacsony b�r, hogy mennyire biztons�gos b�rmilyen �EMV tranzakci� lehet. Ennek r�sze a technol�gia korl�tai, r�szben pedig az emberi viselked�s val�s�gai.

Fogyaszt�i magatart�s ragad�si pontk�nt

Az EMV-�tmenet n�h�ny megr�zk�dtat�s�t sz�les k�rben ismertett�k. El�sz�r is, a tranzakci�k lass�ak lehetnek. M�sr�szt m�g mindig meggy�z�dhet a szem�lyazonoss�g�r�l a r�gim�di m�don, al��rva a nev�t - �s kisebb �gyletekre, akkor m�g ezt sem kell tennie.

"Az �gyletek sokkal hosszabb ideig tartanak az �ruh�zak fizet�s s�vjaiban, amelyeknek chip k�rty�kat kell be�rni a chipk�rtya olvas�ikba - legal�bbis r�vid t�von, mivel a keresked�k megtanulj�k a folyamatot felgyors�tani" - mondja Brian Krebs, az �js�g�r� �s a biztons�g szak�rt� a Krebs Security-on. "Val�sz�n�leg sokkal t�bb ember fogja elhagyni k�rty�it a g�peken bel�l, �s n�velni fogja a bankok elveszett �s ellopott k�rty�it, legal�bbis a k�zelj�v�ben, am�g a fogyaszt�k megszokn�k az eszk�z�ket."

Eur�p�ban a fogyaszt�k �vtizedekig, bizonyos esetekben �vek �ta haszn�lj�k a csorba hitelk�rty�kat. De a tov�bbi biztons�g �rdek�ben a k�rty�k megk�vetelik a k�rtyatulajdonosokt�l, hogy egy tranzakci� sor�n ellen�rizz�k a szem�lyazonoss�gukat. Teh�t mi�rt nem fogadta el az amerikai chip- �s PIN-k�dot chip-and-signature helyett? A legfontosabb t�nyez� a kibocs�t�k azon elismer�se volt, hogy milyen neh�z v�ltoztatni a fogyaszt�i magatart�st.

"MINKET. a fogyaszt�k nem haszn�lj�k a PIN k�dot hitelk�rty�s �gyletekkel, "mondja Julie Conroy, a Massachusetts Massachusetts Aite csoport kutat�si igazgat�ja. "Sok kibocs�t�, akivel v�lasztott chip-al��r�ssal besz�ltem, mert egyetlen kibocs�t� sem akart olyan k�rty�kat kibocs�tani, amelyek felhaszn�l�i �lm�nye versenyh�tr�nyba ker�lt. Egy kibocs�t� szavai szerint a fogyaszt�knak a v�zcs�p�g�s helyett t�rt�n� megtan�t�sa el�g v�ltoz�s volt; nem akart�k kock�ztatni, hogy a fogyaszt�kat k�tf�le viselked�s megv�ltoztat�s�ra kell tan�tani."

A csal�s meg�ll�t�sa

Mi�rt v�ltoztatna meg az egyes�lt �llamokbeli fogyaszt�k? Az els�dleges ok a csal�s volt.

2014-ben t�bb mint 16 milli�rd doll�rt vesztettek el vil�gszerte a hitelk�rtya-csal�sban, a The Nilson Report szerint, amely a fizet�si �gazatot fedezi. A vesztes�gek 48% -�t az Egyes�lt �llamokban tapasztaltuk. A hagyom�nyos m�gnescs�kos k�rty�kat k�nnyebben le lehet csapni, mert a cs�kban t�rolt inform�ci�k statikusak vagy v�ltozatlanok. M�solja be egyszer, �s k�sz�thet p�rhuzamos k�rty�t. Az EMV zsetonok azonban minden egyes tranzakci�hoz egyedi k�dot gener�lnak, ez�rt az egyik tranzakci�b�l �tm�solt inform�ci� nem haszn�lhat� egy m�sikban.

"MINKET. a fogyaszt�k nagyr�szt v�dettek [a hitelk�rtya k�zvetlen k�lts�geit] az Egyes�lt �llamok szab�lyoz�si k�rnyezet�nek �s a fizet�si h�l�zatok �ltal biztos�tott z�r� felel�ss�gbiztos�t�snak k�sz�nhet�en "- mondja Conroy. Az EMV-re val� �tt�r�s teh�t sokkal ink�bb a hitelk�rtya-kibocs�t�k csal�svesztes�g elleni v�delme, mint a fogyaszt�k v�delme.

2015 okt�ber�ben �j szab�lyokat vezettek be a hitelk�rtya-csal�s�rt val� felel�ss�gre vonatkoz�an. Ha csal�s t�rt�nik, b�rmelyik f�l nem haszn�lja az EMV technol�gi�t, felel�s a vesztes�gek�rt. Ha a sz�ban forg� k�rtya nem EMV-v� v�lt, a felel�ss�g a kibocs�t�ban van. Ha a keresked�nek nincs EMV chiplej�tsz�ja, akkor a keresked� viseli a felel�ss�get. A felel�ss�get is meg lehetett osztani.

A PIN csak korl�tozott v�delmet ny�jt

A felel�ss�gi egyenletben nem szerepl� t�nyez� az, hogy a chipk�rtya PIN-k�dra vagy al��r�sra t�maszkodik-e az ellen�rz�shez. �s az igazs�g az, hogy a legt�bb hitelk�rtya-csal�st m�g a chip-and-PIN-vel sem lehet megakad�lyozni.

"A chip-�s-PIN megv�di az elveszett �s ellopott csal�sokat - vagyis ha valaki ellopja a p�nzt�rc�j�t, akkor nem tudja k�nnyen bevinni a k�rty�it egy bev�s�rl� k�zegben - mondja Conroy. Az ilyen t�pus� csal�sok az �ltal�nos hitelk�rtya-csal�sokhoz k�pest kicsiek, mondja Conroy.

R�ad�sul a tolvajok mindig megker�lik a biztons�got. "L�ttuk, m�s orsz�gok p�ld�j�n alapulva, hogy a b�n�z�k el�gg� tapasztalt�k a PIN k�d megszerz�s�t, ak�r lef�j� t�mad�sok, sz�rf�z�s vagy kamer�k seg�ts�g�vel" - mondja Conroy. Mivel a PIN nem v�ltozik minden v�s�rl�ssal kapcsolatban, Conroy azt mondta, hogy "hat�rai vannak a csal�s elleni hat�kony k�zdelemben. Amikor az U. a chip-�s-PIN-ba ment, az elveszett �s ellopott csal�s r�viden elt�nt, de n�h�ny �v m�lva m�r csak a PIN-k�d el�tti szintre ker�lt."

Az EMV chipek nem j�tszanak szerepet az online tranzakci�kban sem, �gy a chip k�rty�k ugyanolyan sebezhet�ek, mint a m�gnescs�kos k�rty�k.

Van egy sokkal biztons�gosabb �t?

Conroy szerint a chip-�s-PIN a legjobb esetben r�vid t�v� jav�t�s."Ide�lis esetben szeretn�m l�tni az ipar�gi leapfrog PIN-k�dot, �s �tt�rni az ellen�rz�s egy�b form�ira, p�ld�ul a biometrikus elemekre, a mobilellen�rz�sre stb." - mondja. "A folyamat sor�n el kell t�vol�tanunk az al��r�st is - ez k�lts�ges a keresked�k sz�m�ra, �s a jelenleg v�grehajtott �gyf�l-hiteles�t�si m�dszerk�nt haszontalan."

A Krebs azt javasolja, hogy a "tokeneket" a csal�s elleni k�zdelem egyik m�djak�nt haszn�lj�k fel. A tokeniz�l�ssal a keresked�i sz�m�t�g�pek egy�ltal�n nem t�rolnak hitelk�rtya-adatokat. Ehelyett hely�rz�sz�mot vagy tokenet t�rolnak, amelyet a kibocs�t�b�l sz�rmaz� adatok lek�r�s�re haszn�lhatnak.

"A token�l�s a keresked�k sz�m�ra lehet�v� teszi, hogy a k�rtyaadatokat b�rmikor t�rolj�k, �s a folyamat sor�n cs�kkenjen annak a val�sz�n�s�ge, hogy a cyberrooksok a k�rtyaadatokra c�lozz�k �ket" - mondja. A token�l�s cs�kkenten� az adatszeg�sek okozta vesz�lyt, �gy a legt�bb fogyaszt� a hitelk�rtya-csal�s �ldozataiv� v�lik.

A mobil megold�soknak saj�t korl�tai vannak

A mobil fizet�sek �s a digit�lis p�nzt�rc�k, p�ld�ul az Apple Pay alternat�v megold�st k�n�lhatnak. De Conroy azt mondja: "B�r a mobil fizet�sek keresked�i specifikus implement�ci�ja nagy sikert aratott, a Starbucks, az egyik - a ny�lt hurk� mobil fizet�sek elfogad�sa - az Apple Pay, az Android Pay sokkal lassabban halad."

A Krebs biztons�gi kock�zatot l�t a mobil fizet�sekre is. "Az Apple Pay egyfajta tokeniz�l�st haszn�l, de a m�ltban az Apple Pay fizet�si probl�m�i a bankok csek�ly beiratkoz�si elj�r�sa �s a statikus adatelemek [mint p�ld�ul a t�rsadalombiztos�t�si sz�mok vagy sz�let�si d�tumok] t�maszkod�sa a hiteles�t�sre, amikor ezek az adatok nagym�rt�kben kompromitt�l�dott, �s csaknem minden amerikai sz�m�ra �rt�kes�thet�."

Az egyetlen dolog, ami mobil maradni fog, val�sz�n�leg a k�rtya a p�nzt�rc�j�ban. "A fogyaszt�k nagyon k�nyelmesek a k�rty�kkal" - mondja Conroy -, �s a fogyaszt�i magatart�s megv�ltoz�sa neh�z, �gy a k�rty�k egyel�re vel�nk lesznek."

Ellen Cannon egy szem�lyi �r� a Investmentmatome, egy szem�lyes p�nz�gy honlapj�n. E-mail: [email protected]. Twitter: @ellencannon.