Jednym z najgłośniejszych wydarzeń roku 2013 było wielkie włamanie do systemów IT sieci supermarketów Target. W konsekwencji wyciekła ogromna ilość informacji o klientach oraz ich kartach kredytowych. Był to przełomowy moment, który zdecydował o przyszłości płatności kartami w USA.

Dotychczas wszyscy odwiedzający Stany Zjednoczone doświadczali swoistego szoku, gdy nagle zamiast znajomej formuły „PIN i zielony” widzieli, jak sprzedawca przesuwa ich kartę przez czytnik (tzw. swipe), a potem co najwyżej prosi o – najczęściej niezgodny ze wzorem – podpis. Dokonanie transakcji polegające wyłącznie na odczytaniu danych konta z paska magnetycznego oraz brak weryfikacji tożsamości właściciela przekładał się na ogromną łatwość wykorzystania skradzionych informacji o numerach kart. Do momentu włamania  do Target  zagrożenia te były jednak masowo ignorowane jako marginalne i łatwe do skorygowania przez wbudowane w systemy płatnicze możliwości korekt transakcji oraz kompensacji za błędy w ich obsłudze.

Jednak olbrzymia liczba skradzionych numerów kart (ponad 40 milionów) stworzyła zupełnie nową perspektywę postrzegania tej problematyki oraz doprowadziła do konsensusu w zakresie konieczności przejścia na bezpieczniejsze formy obsługi transakcji. Zdecydowano, że od pierwszego października 2015 roku wszyscy sprzedawcy w USA przełączą się na system EMV znany u nas jako „karty chipowe”. Jego nazwa pochodzi od pierwszych liter założycieli konsorcjum odpowiedzialnego za definiowanie nowych standardów kart płatniczych – EuroPay, MasterCard i Visa. Oczywiście obecnie konsorcjum jest szersze, a w jego skład wchodzą także Diners Club i inni. Zatem piekło w istocie zamarzło, jednak czy wprowadzenie standardów EMV rzeczywiście wpłynie na poprawienie bezpieczeństwa klientów?

Po pierwsze wiemy, że zarówno sprzedawcy, jak i klienci nie są gotowi na te zmiany. Ocenia się, że ponad 60% punktów sprzedaży nie jest przygotowanych na „EMV Day” i to pomimo odroczenia do 2016 roku daty przejścia na nowy system najliczniejszej grupy – stacji benzynowych. Raporty rynkowe mówią, że do wymiany jest ponad 12 milionów POS-ów i zwyczajnie nie będzie możliwe wykonanie tej operacji na czas, a jej koszty będą astronomiczne . Również konsumenci nie otrzymali w większości przypadków ani informacji o EMV, ani nowych, wyposażonych w chipy kart.

Dodatkowym problemem jest przyjęcie uproszczonego standardu, który zamiast znanego nam zestawu chip+PIN przyjmie formę chip+signature. Oznacza to, że jedyną zaletą przejścia na EMV będzie de facto składowanie zaszyfrowanej informacji o numerze konta na chipie zamiast na pierwszej ścieżce paska magnetycznego. Utrudni to co prawda instalowanie skimmerów (czyli urządzeń odczytujących te dane w czasie skanowania karty), czy też tworzenie duplikatów kart wyłącznie na podstawie skradzionych numerów, ale sama transakcja pozostanie równie niebezpieczna jak poprzednio. Trudniejsze nie oznacza wszak, że niemożliwe. Zamiast odczytywać dane Track 1 i Track 2 bezpośrednio z karty, złodzieje będą musieli odczytywać je z pamięci POS, bo po wprowadzeniu karty do czytnika i przekazaniu informacji transakcyjnych do POS znajdą się one w pamięci urządzenia w postaci niezaszyfrowanej. Jest to absolutnie wykonalne, zwłaszcza dla przestępczości zorganizowanej.

Zatem konsumenci mogą się cieszyć z nowego systemu, bo na pewno podniesie on bezpieczeństwo przestarzałej, ponad 21-letniej technologii płatniczej opartej o paski magnetyczne. Jednak nie powinni przestawać zachowywać jak najwyższą czujność w przekazywaniu swojej karty w ręce sprzedawcy, a także dokładnie sprawdzać wyciągi operacji kartowych. Trzeba również zauważyć, że nawet jeśli sprzedawca nie jest gotowy na EMV, to od 1 października bierze on na siebie pełną odpowiedzialność za bezpieczeństwo transakcji i skutki ewentualnych wycieków danych.

Na szczęście dużo większe nadzieje można wiązać z nadchodzącymi wielkimi krokami systemami płatniczymi nowej generacji:

• mobilnymi portfelami typu Apple Pay lub Google Pay z wiodącą rolą NFC,
• nowymi architekturami systemowymi opartymi o szyfrowanie i tokenizację płatności oraz chmurowe repozytoria danych płatniczych.

Albowiem aktualne systemy chip+PIN popularne w Europie również nie są wolne od wad. Niedawno okazało się, że jest możliwe oszukanie systemu transakcyjnego poprzez modyfikację chipu (dołożenie nakładki) potwierdzającej zgodność wprowadzonego PIN-u niezależnie od rzeczywiście wymaganego kodu.

Pozwolę sobie zająć Państwa tymi zagadnieniami w kolejnych odcinkach sagi o EMV.

Zapraszam także do lektury naszego przekrojowego raportu obejmującego 10 lat historii wielkich wycieków danych. Rozprawiamy się w nim z mitami w tym obszarze.

Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro