Apple Pay a ryzyka transakcji zbliżeniowych

Gracjan Pietras

1

Dodane: 9 lat temu

Wejście Apple do świata płatności zbliżeniowych trudno uznać za ruch pionierski. Karty zbliżeniowe są w powszechnym użyciu, zaś lista konkurencyjnych urządzeń, stosujących technologię NFC, była w dniu premiery nowych iPhone’ów bardzo długa.

Można jednak sądzić, że Apple Pay wprowadzi płatności zbliżeniowe na nowy poziom, m.in. dzięki nowemu podejściu do zwalczania ryzyka, które wydawało się dotychczas nieodłącznie związane z tą technologią.

Po pierwszej prezentacji widać, że system Apple Pay różni się od ofert konkurencji. Timothy Cook nazwał to spojrzeniem na płatności zbliżeniowe z perspektywy użytkownika. Nie wiemy jeszcze, czy użytkownicy będą tego samego zdania, ale można dostrzec, że Apple podjęło wysiłek zniwelowania kluczowych zagrożeń – a co za tym idzie także obaw użytkowników związanych z płatnościami zbliżeniowymi. O jakie ryzyka chodzi?

Jako pierwsze nasuwa się ryzyko fizycznej kradzieży karty lub telefonu, które mogą zostać użyte do płatności bez dodatkowej autoryzacji z naszej strony (np. za pomocą numeru PIN).  Wprawdzie wartość pojedynczej transakcji zbliżeniowej jest ograniczona do stosunkowo niskich kwot (np. 50 złotych), to jednak sprawny złodziej może wykonać szereg takich drobnych transakcji, zanim się zorientujemy i zablokujemy kartę w banku. Dotychczasowe metody niwelowania tego ryzyka (np. losowy wybór transakcji wymagających dodatkowej autoryzacji) trudno uznać za w pełni satysfakcjonujące. Apple Pay stara się zabezpieczyć użytkownika przed tym ryzykiem na kilka sposobów. Pierwszy wiąże się z wykorzystaniem technologii Touch ID, czyli wprowadzeniem dodatkowej autoryzacji za pomocą odcisku palca. Bez takiej autoryzacji złodziej nie dokona płatności telefonem. Po drugie, w Apple Pay dane karty kredytowej nie są widoczne dla użytkownika urządzenia ani nawet w nim zapisane. Złodziej nie uzyska zatem dostępu do numeru, daty ważności czy kodu bezpieczeństwa, które zwykle wymagane są np. przy płatnościach online. Dlatego po zablokowaniu funkcji płatności telefonem za pomocą aplikacji „Find My iPhone”, nie będzie nawet konieczne zablokowanie karty w banku.

Oprócz fizycznej kradzieży karty lub telefonu należy brać pod uwagę również ryzyko kradzieży danych karty płatniczej. Dane te mogą zostać przejęte za pomocą interfejsu zbliżeniowego, w skrajnym przypadku nawet bez wiedzy właściciela karty lub telefonu. Ryzyko to występuje również, gdy wpisujemy dane karty przy płatnościach internetowych, a nawet gdy podajemy naszą kartę w sklepie do rąk sprzedawcy. Płatność przez Apple Pay ma eliminować te zagrożenia w ten sposób, że dane karty nie będą widoczne dla użytkownika ani nawet wysyłane do terminala sprzedawcy. System ma w to miejsce generować własne, jednorazowe i unikalne potwierdzenie płatności. W ten sposób dane wysyłane do interfejsu zbliżeniowego – nawet jeśli zostaną skradzione – nie mogą już posłużyć do dokonania kolejnych płatności. Zabezpieczenia te powinny również uniemożliwiać wykorzystanie iPhone’a do klonowania (czy to logicznego, czy fizycznego) kart płatniczych.

W ten sam sposób niwelowane są ryzyka związane z ryzykiem tzw. ataku przekaźnikowego, który polega na wykorzystaniu urządzeń wykorzystujących technologię NFC (np. telefonów komórkowych) w celu dokonania nieautoryzowanej transakcji na koszt ofiary. Zwykle jedno z takich urządzeń jest zbliżane do karty ofiary w celu kradzieży jej danych, drugiego zaś – połączonego z nim urządzenia – używa się do dokonania płatności z wykorzystaniem tych danych. Atak przekaźnikowy nie będzie możliwy przy braku autoryzacji przez Touch ID.

Nie można również wykluczyć prób ataków przekaźnikowych lub logicznego klonowania kart płatniczych przy wykorzystaniu szkodliwego oprogramowania instalowanego na urządzeniu ofiary. Przejęcie kontroli nad urządzeniem ofiary lub choćby zainstalowanie na nim niechcianych aplikacji może posłużyć do uzyskania dostępu do zapisanych na tym urządzeniu kart płatniczych lub dokonywania płatności bez wiedzy właściciela. W tym przypadku stosunkowo wysoka odporność systemu iOS na ataki z zewnątrz stanowi dodatkowy atut, zwłaszcza w stosunku do dużo bardziej narażonego na takie ataki systemu Android. Zamknięty charakter i hermetyczność systemu Apple wydaje się być zatem w tym przypadku zaletą.

Apple Pay oferuje użytkownikom zabezpieczenia niedostępne dla użytkowników bankowych kart płatniczych, zapewniając przy tym podobną łatwość dokonywania płatności (w tym celu nie trzeba będzie wybudzać iPhone’a, wpisywać PIN-u ani uruchamiać dodatkowych aplikacji). Może to dla wielu osób stanowić argument za całkowitym odejściem od plastikowych kart. Dodatkową motywację stanowić może fakt, iż płatności zbliżeniowe (zwane też mikropłatnościami) wiążą się obecnie z istotnie wyższym ryzykiem po stronie użytkownika niż płatności kartami autoryzowanymi PIN-em. Obowiązujące prawo dopuszcza bowiem pełną odpowiedzialność płacącego za nieautoryzowane transakcje dokonane do czasu zgłoszenia jej kradzieży, a także ograniczoną odpowiedzialność nawet po dokonaniu takiego zgłoszenia. Banki mogą być zwolnione z ciężaru dowiedzenia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, a także nie mają obowiązku niezwłocznego zwrotu klientowi kwoty nieautoryzowanej transakcji płatniczej.

Wszystko to może spowodować, że użytkownicy będą gotowi całkowicie zrezygnować z posiadania kart zbliżeniowych. Nie będą one potrzebne, skoro telefon zapewnia dużo bezpieczniejszy sposób płatności zbliżeniowych bez konieczności posiadania plastikowej karty. Może się również okazać, że całkowicie zniknie potrzeba wydawania jakichkolwiek kart płatniczych w formie plastikowej, karty staną się tworami wirtualnymi, występującymi wyłącznie w systemach informatycznych. Zatem zapowiadana od dawna śmierć plastiku w bankowości, choć odwlekana, może już niedługo okazać się faktem.

—

Ten artykuł pochodzi z archiwalnego iMagazine 10/2014

Gracjan Pietras

Autor jest adwokatem i wspólnikiem w kancelarii „Doktór Jerszyński Pietras” w Warszawie. www.djp.pl