După schimbarea EMV, cardurile de credit încă nu sunt la fel de sigure

Au trecut mai bine de șase luni de la schimbarea normelor privind frauda cărților de credit, determinând trecerea de la cardurile de credit cu benzi magnetice vechi la cartele încorporate cu jetoane EMV. Dar numai 20% din terminalele cărților de credit din S.U.A. au fost activate pentru utilizarea în chip în aprilie 2016, potrivit Grupului consultativ Mercator. Și doar 60% din toate cardurile de credit au fost actualizate cu jetoane.

Cu toate acestea, este posibil să fi trecut prin noul proces de lipire a cartelei dvs. de cip într-un cititor, de așteptare pentru verificarea tranzacției și de obținerea de reacții de către mașină dacă lăsați cardul prea mult timp.

Procesul a fost puternic promovat ca având grijă mai bine de datele dvs. Dar probabil nu este la fel de sigur ca o tranzacție EMV. Și există un bar destul de scăzut pentru cât de sigur orice Tranzacția EMV poate fi. O parte din acestea sunt limitele tehnologiei, iar partea este realitatea comportamentului uman.

Comportamentul consumatorilor ca punct de reper

Unele probleme în tranziția EMV au fost remarcate. În primul rând, tranzacțiile pot fi lente. Pentru alta, veti confirma identitatea in mod vechi, prin semnarea numelui dvs. - si pentru tranzactiile mai mici, nici macar nu trebuie sa faceti asta.

"Tranzacțiile vor dura mult mai mult la liniile de comandă ale magazinelor care necesită plăcuțe de cip pentru a fi introduse în cititoarele lor de carduri - cel puțin pe termen scurt, deoarece comercianții învață să accelereze procesul", spune Brian Krebs, jurnalist și securitate expert la Krebs privind securitatea. "De asemenea, probabil că mai mulți oameni își vor părăsi cardurile în interiorul mașinilor și vor spori pierderile pierdute și furate pentru bănci, cel puțin pe termen scurt, până când consumatorii se vor obișnui cu dispozitivele".

În Europa, consumatorii au folosit cărți de credit în decurs de ani - decenii, în unele cazuri. Dar pentru o securitate suplimentară, cardurile solicită posesorilor de carduri să introducă un cod PIN pentru a-și verifica identitatea în timpul unei tranzacții. Deci, de ce SUA nu au adoptat un sistem chip-și-PIN, în loc de chip și semnătură? Un factor major a fost faptul că emitenții au recunoscut cât de greu este să forțeze o schimbare în comportamentul consumatorilor.

"NE. consumatorii nu sunt obișnuiți să introducă un cod PIN cu tranzacții cu carduri de credit ", spune Julie Conroy, director de cercetare la Aite Group din Massachusetts. "O mulțime de emitenți pe care i-am vorbit cu chip-și-semnătura alese pentru că niciun emitent nu dorea să emită cărți a căror experiență de utilizare le-a pus într-un dezavantaj competitiv. În cuvintele unui emitent, învățarea consumatorilor să se înmoaie în loc de a trece prin gură a fost suficientă schimbare; ei nu au vrut să riscă să trebuiască să-i învețe pe consumatori să schimbe două comportamente în același timp."

O încercare de a opri frauda

De ce face ca consumatorii americani să schimbe ceva? Motivul principal a fost frauda.

În 2014, peste 16 miliarde de dolari au fost pierduți în frauda cu card de credit la nivel mondial, potrivit raportului The Nilson, care acoperă sectorul plăților. Din pierderi, 48% au apărut în S.U.A. Cardurile cu benzi magnetice tradiționale sunt mai ușor de hacking, deoarece informațiile stocate pe bandă sunt statice sau neschimbate. Copiați-o o singură dată și puteți face o carte duplicat. Cu toate acestea, cipurile EMV generează un cod unic pentru fiecare tranzacție, astfel încât informațiile copiate dintr-o tranzacție nu pot fi folosite în altă tranzacție.

"NE. consumatorii sunt protejați în mare măsură de frauda [costul direct al cardurilor de credit], datorită mediului de reglementare din S.U.A. și garanției pentru daunele zero pe care le oferă rețelele de plată ", spune Conroy. Trecerea la EMV, atunci, este cu atât mai mult cu privire la protejarea emitenților cărților de credit de pierderile cauzate de fraude decât protecția consumatorilor.

Octombrie 2015 a fost introdus noile norme privind răspunderea pentru frauda cu carduri de credit. Dacă se produce o fraudă, oricare dintre părți nu utilizează tehnologia EMV, este responsabilă de pierderi. În cazul în care cardul în cauză nu a fost plătit cu EMV, răspunderea se face asupra emitentului. Dacă comerciantul nu avea cititor de cipuri EMV, comerciantul poartă responsabilitatea. Răspunderea ar putea fi împărtășită.

Codul PIN oferă o protecție limitată

Ceea ce nu ia în calcul ecuația de răspundere este dacă cardul cip depinde de un PIN sau de o semnătură pentru verificare. Și adevărul este că cele mai multe fraude cu carduri de credit nu ar fi nici măcar împiedicate cu chip-și-PIN.

"Chip-and-PIN protejează împotriva fraudei pierdute și furate - adică, dacă cineva vă fură portofelul, ei nu vă pot lua cu ușurință cărțile într-un sforăit de cumpărături", spune Conroy. Acest tip de fraudă este minuscule în comparație cu frauda generală a cărților de credit, spune Conroy.

În plus, hoții vor găsi întotdeauna o cale în jurul securității. "Am văzut, pe baza exemplului altor țări, că infractorii au ajuns să fie foarte pricepuți la capturarea codului PIN, fie prin atacuri de mușamalizare, de navigare pe umăr sau prin camere de supraveghere", spune Conroy. Deoarece PIN-ul nu se schimbă cu fiecare achiziție, Conroy a spus că "are limitele sale în ceea ce privește capacitatea sa de a lupta eficient împotriva fraudei. Atunci când UK a ajuns la chip și PIN, frauda pierdută și furată a scăzut brusc, dar în câțiva ani a revenit la nivelurile pre-PIN."

Cipurile EMV nu au, de asemenea, niciun rol în tranzacțiile online, astfel încât cardurile cu cipuri sunt la fel de vulnerabile ca și cardurile cu benzi magnetice.

Există o cale mai sigură?

Conroy spune că chip-și-PIN-ul este cel mai bun remediu pe termen scurt."În mod ideal, aș vrea să văd PIN-ul din industrie și să trec la alte forme de verificare, cum ar fi biometria, verificarea mobilă etc.", spune ea. "În acest proces, ar trebui, de asemenea, să îndepărtăm semnătura - este costisitor pentru comercianți și este inutil ca metodă de autentificare a clienților, așa cum este implementată în prezent".

Krebs sugerează folosirea "jetoanelor" ca o modalitate de combatere a fraudei. Cu ajutorul tokenizării, computerele comercianților nu stochează deloc date privind cărțile de credit. În schimb, stochează un număr de substituent, sau un jeton, care poate fi utilizat pentru a prelua date de la emitent.

"Tokenizarea poate ajuta comercianții să evite stocarea datelor de pe card pentru orice perioadă de timp și în procesul de reducere a probabilității că cybercrooks le va viza pentru datele de pe card", spune el. Tokenizarea ar reduce amenințarea cauzată de încălcarea datelor, ceea ce înseamnă că majoritatea consumatorilor devin victime ale fraudei cu carduri de credit.

Soluțiile mobile au propriile limitări

Plățile mobile și portofelele digitale, precum Apple Pay, pot oferi o alternativă. Conroy însă spune că "în timp ce unele implementări specifice ale comercianților de plăți mobile au un mare succes - Starbucks, pentru una - adoptarea plăților mobile cu buclă deschisă - Apple Pay, Android Pay - se mișcă mult mai încet".

Krebs vede și un risc de securitate pentru plățile prin telefon mobil. "Apple Pay utilizează o formă de tokenizare, dar problemele din trecut cu Apple Pay au provenit din procedurile de înscriere laxă la bănci și dependența de elementele de date statice (cum ar fi numerele de securitate socială sau datele de naștere) pentru autentificare atunci când aceste elemente de date sunt larg compromise și de vânzare pentru aproape toți americanii."

Singurul lucru care va rămâne mobil va fi probabil cardul din portofel. "Consumatorii sunt foarte confortabili cu cardurile", spune Conroy, "iar schimbarea comportamentului consumatorilor este dificilă, așa că cardurile vor fi cu noi pentru o vreme."

Ellen Cannon este scriitor de personal la Investmentmatome, un site de finanțe personale. Email: [email protected]. Twitter: @ellencannon.