можно ли расплатиться картой без пин кода
Бесконтактная оплата картой без пин-кода, а также без гарантий сохранности денег
Увеличение лимитов бесконтактной оплаты банковскими картами без введения пин-кода приведёт к росту криминального мошенничества. По оценкам банкиров, потери клиентов могут достичь минимум миллиарда рублей ежегодно.
Сами банкиры предупреждают, что при бесконтактной оплате, когда не требуется вводить пин-код, а можно просто приложить карту к эквайринговому терминалу оплаты, например, в платежной системе «VISA», риск потерять деньги при увеличении лимита резко возрастает.
Еще в начале 2019 года пользователи карт могли таким образом совершать платежи на сумму до 1000 рублей, а с апреля сумма выросла до 3000 рублей.
С одной стороны, при увеличении лимитов в три раза, от банка не потребуется существенных сумм компенсаций хищений, однако уже сейчас в кредитных организациях рассматриваются пачки заявлений клиентов столкнувшихся с мошенничеством.
У российских граждан в 2018 году украли 300 миллионов рублей с банковских карт, но с увеличением лимитов потери и компенсации могут достичь уровня в один миллиард. При этом особых технологий борьбы с подобным воровством и мошенничеством, как признают сами участники рынка, пока не существует.
Чаще всего подобные технологии оплаты используются чтобы купить продукты питания, оплатить счет в ресторане или кафе, кое-где подобным образом можно расплатиться за проезд в общественном транспорте.
Чтобы предотвратить незаконные списания банки отслеживают все случаи использования пластика и если обнаружена подозрительная активность, например, три операции за час, то счет может быть заблокирован. Для его активации клиенту придется связаться непосредственно с банком и доказать свои права на транзакции.
Ситуация, конечно, более чем странная, но она призвана защитить наши права от попыток криминала опустошить банковский счет.
Есть ещё один момент в истории с бесконтактной оплатой, которая очень удобна для клиентов, но не менее притягательна и для аферистов. Их возможности совершать покупки ограничены не только суммой в 3000 рублей, но и способностью терминалов эту оплату принимать. Кроме того, многие банки регулируют величину лимитов при оплате без пин-кода в соответствии со своими внутренними правилами, либо договоренностями с конкретными торговыми компаниями.
Mastercard увеличила лимит по покупкам без ПИН-кода на фоне пандемии
Международная платежная система Mastercard рекомендовала российским банкам повысить лимит покупок с 1 тыс. до 5 тыс. руб., при которых держатели их карты могут не вводить ПИН-код, если расплачиваются бесконтактными картами. Об этом РБК рассказали три источника на финансовом рынке.
Письмо с рекомендациями было направлено банкам-партнерам Mastercard на этой неделе, говорит один из собеседников, подчеркивая, что конечное решение будет зависеть от самих банков. В письме не содержится конкретной даты, с которой банки могут повысить лимит, — это можно сделать на усмотрение самих кредитных организаций, поясняет другой собеседник. Такое решение принято платежной системой «в связи с текущей ситуацией», уточняет третий источник.
В марте этого года Mastercard выпустила аналогичные рекомендации для 29 европейских стран, но в этот список Россия не входила.
Другая международная платежная система — Visa — в прошлом году разрешила своим держателям не вводить ПИН-код при бесконтактной оплате до 3 тыс. руб., до этого этот порог также был установлен на уровне 1 тыс. руб.
Промсвязьбанк (ПСБ) и банк «Русский стандарт» настроят свои эквайринговые сети, чтобы проводить бесконтактные операции до 5 тыс. руб. без введения ПИН-кода, рассказали их представители. Россельхозбанк увеличит лимит до 3 тыс. руб.: терминалы настроит постепенно, а карты в ближайшее время. Райффайзенбанк также последует рекомендациям. ВТБ увеличит лимит, но максимальная сумма еще обсуждается. Сбербанк готов рассмотреть данную инициативу, но сначала должен проанализировать реальную потребность клиентов в таком изменении, пояснили в пресс-службе банка. «Открытие» оценит предложение в течение двух недель и, возможно, реализует его. МКБ заверил, что проведет консультации с платежными системами для оценки сроков реализации и необходимости каких-либо доработок.
Единственным банком, который сразу заявил, что не будет повышать лимит, стал Росбанк. «Мы не видим в этом дополнительной ценности для клиента, скорее дополнительные риски по несанкционированным операциям без ПИН», — пояснил его представитель.
Mastercard не ответил на запрос РБК.
По данным исследования Федеральной антимонопольной службы, доля активных карт Mastercard среди всех карт у россиян на начало 2019 года составляла 36%. Держатели Mastercard за 2018 год оплатили товары и услуги на 8,3 трлн руб. — это 38% всех оплаченных безналичным способом покупок.
На фоне пандемии коронавируса власти и банкиры неоднократно призывали сократить использование наличных, а покупки оплачивать бесконтактно. На примере Китая стало понятно, что использование наличных бумажных денег способствует распространению заболевания, говорил глава Сбербанка Герман Греф. Он рекомендовал не пользоваться наличными и по возможности — банкоматами.
Отказаться от наличных также советовал Роспотребнадзор. Если их все же пришлось взять в руки, нужно воспользоваться дезинфицирующими средствами и не трогать лицо.
Риски и необходимость повышения лимита
Увеличение лимита без ввода ПИН-кода будет стимулировать развитие безналичных платежей, а также развивать с меньшими рисками технологию SoftPOS (POS-терминал в смартфоне — такая технология также есть у Mastercard), говорит заместитель директора департамента электронного бизнеса ПСБ Никита Хомутов. По его прогнозам, повышение лимита позволит не вводить ПИН-код карты в 70% случаев от общего числа транзакций. По мнению директора департамента эквайринга банка «Открытие» Александра Дынина, риски от повышения безкодового лимита значительно не вырастут.
В условиях борьбы с распространением коронавируса данный функционал повышает безопасность проведения операций, так как держатели карт смогут не прикасаться к клавиатуре для ввода ПИН-кода, расплачиваясь за ежедневные покупки, пояснил представитель Россельхозбанка.
Изменение лимита на уровне платежной системы — необходимое, но не окончательное условие, говорит представитель национальной платежной системы «Мир»: «Это трудоемкий и длительный процесс, требующий существенных усилий от всех банков — как эмитентов, так и эквайеров, поскольку затрагивает технологические настройки различных систем, в том числе POS-терминалы и системы риск-менеджмента кредитных организаций».
Представитель платежной системы «Мир» прямо не ответил на вопрос о готовности последовать примеру международных платежных систем, но заметил, что в марте 2020 года средний чек покупок по картам национальной ПС в супермаркетах составил 488 руб., в аптеках — 608 руб., а в апреле — 521 и 615 руб. соответственно, что значительно ниже действующего лимита в 1 тыс. руб. Его повышение позволит перевести в режим без ввода ПИН-кода всего 2–2,5% от общего числа межбанковских операций, которые сегодня проводятся по всем картам «Мир».
При использовании бесконтактных карт теоретически есть риск, что злоумышленники смогут незаметно поднести POS-терминал к кошельку или сумке и списать с карты максимум суммы, которая не требует ввода ПИН-кода, то есть 5 тыс. руб. вместо 1 тыс. руб. раньше, но на практике такой вид мошенничества трудно осуществить, рассуждает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Для этого необходимо зарегистрировать терминал на ИП или организацию, поэтому такие транзакции довольно легко своевременно обнаружить, отследить и заблокировать, продолжает эксперт. «Несмотря на увеличение лимита, массовыми такие мошенничества, скорее всего, не станут, а в единичных случаях ущерб будет небольшим и его смогут возместить», — уверен эксперт.
Есть ли жизнь без ПИН-кода
При оплате пластиковой картой для подтверждения того, что именно вы являетесь ее держателем, иногда нужно ввести ПИН-код, иногда поставить подпись на чеке, а порою строгий кассир требует и того и другого. Портал Банки.ру решил выяснить, как определяется способ верификации карточного платежа и в чем преимущество каждого из этих способов.
Бытующее среди держателей банковских карт мнение, что чипованная карта обязательно требует ввода ПИН-кода при оплате, а карта без чипа обходится подписью на чеке, в корне неверно. Возможны самые разные варианты. Все зависит от того, как банк-эмитент настроил карту, а банк-эквайер – торговый терминал. Более того, представления эмитента и эквайера о безопасности и удобстве могут не совпадать. Из-за этого могут случаться неожиданности, не всегда приятные.
В соответствии со стандартами международных платежных систем, есть пять CVM (Card Verification Method) – способов, которыми держатель карты при совершении платежа подтверждает (верифицирует) свою личность.
Зашифрованный офлайн-ПИН – самый современный и защищенный способ верификации. Платежный терминал запрашивает ПИН-код, плательщик набирает его на клавиатуре терминала. Полученный ПИН-код терминал зашифровывает с помощью встроенного криптографического чипа и передает в EMV-чип карты на проверку. Такая верификация происходит быстро, а ПИН-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по EMV-чипу и требует наличия криптографического чипа в терминале.
Незашифрованный офлайн-ПИН работает почти так же, как и зашифрованный, с той лишь разницей, что терминал передает ПИН-код в EMV-чип карты в открытом виде. Соответственно, криптографический чип не нужен, но риск компрометации ПИН-кода техническими средствами (например, если платежный терминал заражен вредоносной программой) возрастает.
Онлайн-ПИН – самый старый способ верификации с ПИН-кодом. Клиент набирает на клавиатуре ПИН-код, терминал из ПИН-кода и номера карты формирует ПИН-блок, зашифровывает его (причем используется шифр многократно менее стойкий, чем в случае зашифрованного оффлайн-ПИН), и передает для проверки в процессинговый центр банка-эмитента. Следует учесть, что эмитент ПИН-кодами выпущенных им карт не обладает. Он хранит лишь вычисленное на основе ПИН-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного ПИН-блока после его расшифровки.
По дороге к эмитенту ПИН-блок проходит множество промежуточных узлов, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения торговой точки к процессинговому центру банка-эквайера. Естественно, онлайн-ПИН не работает в случае оффлайн-авторизации, когда у торговой точки нет подключения к банку-эмитенту. Для проверки ПИН-кода карты без чипа может использоваться только этот способ.
Проверка подписи выглядит нетехнологично и доставляет немало проблем магазину – из-за нее ему необходимо долгое время хранить чеки с подписями клиентов. Однако есть у этого метода верификации и несколько преимуществ. Во-первых, он не требует подключения терминала к эмитенту, то есть работает при оффлайн-авторизациях. Во-вторых, укравшему карту злоумышленнику, пусть даже он узнал ПИН-код, будет сложно выдать себя за держателя карты – нужно достоверно изобразить подпись, образец которой обязательно должен иметься на обороте карты. Увы, далеко не всегда кассиры удосуживаются сверить подпись. Не все даже проверяют наличие образца на карте.
Этот вид верификации позволяет достаточно легко опротестовать авторизацию, в отличие от методов с вводом ПИН-кода: если подпись на чеке не совпадет с подписью держателя, банк будет вынужден вернуть ему деньги. Конечно же, вкупе с невнимательностью многих кассиров, это оставляет широкие возможности для мошенничества со стороны особо хитроумных держателей карт. Но банки тоже не лыком шиты: опротестовав авторизацию с верификацией по подписи, держатель может, к примеру, столкнуться с требованием предъявить банку все чеки за все оплаты за последние три месяца.
No-CVM означает отсутствие верификации вообще и используется в тех случаях, когда сумма авторизации невысока и нет нужды запрашивать верификацию. Чаще всего он применяется для бесконтактных платежей при сумме менее 1 тыс. рублей.
Важно понимать, что онлайн-ПИН и офлайн-ПИН могут использоваться при оплате одной и той же картой, в зависимости от обстоятельств, и, по сути, это разные ПИН-коды – один проверяется в чипе карты, другой в процессинговом центре банка-эмитента. Чтобы не морочить держателю карты голову, банки-эмитенты эти коды всегда делают одинаковыми. Но есть разница при смене ПИН-кода: офлайн-ПИН меняется через банкомат, онлайн-ПИН могут поменять в банке, по звонку держателя. При первой возможности они синхронизируются. Обычно банки предлагают держателям лишь один из способов смены ПИН-кодов.
Итак, есть пять методов верификации, и современная чиповая карта обладает ими всеми. Метод, который будет использоваться при совершении очередной оплаты, определяется настройками как EMV-чипа, так и терминала – оба устройства должны «договориться» о том, какой из приемлемых для обеих сторон методов они будут использовать.
Для этого в чип карты загружается CVM-список – файл, определяющий, какие способы верификации поддерживает карта и какие более предпочтительны. К примеру, в этом списке может значиться, что предпочтительным способом является шифрованный офлайн-ПИН. В случае отказа от него должен применяться незашифрованный офлайн-ПИН. В случае отказа от него применяется онлайн-ПИН, далее в случае отказа запрашивается подпись, при отказе от которой операция отклоняется. В терминале есть аналогичный CVM-список, и при выполнении операции он сравнивается со списком в чипе. В результате применяется наиболее предпочтительный из способов, указанных как допустимые в обоих списках.
Рекомендации Visa и MasterCard касательно порядка приоритета способов верификации несколько различаются: так, если Visa рекомендует ставить онлайн-ПИН выше, чем проверку подписи, у MasterCard подпись имеет более высокий приоритет, а в картах Maestro способ No-CVM должен отсутствовать.
На практике CVM-список, загруженный в терминал, зависит как от технических возможностей самого терминала, так и от политики банка-эквайера, а CVM-список в чипе карты банк-эмитент полностью определяет из собственных соображений об удобстве держателей и безопасности операций.
Банки.ру запросил несколько крупных банков об их предпочтительных методах верификации. Пресс-служба Альфа-Банка ответила, что «все ЧИПовые карты, которые эмитирует Альфа-Банк, всегда требуют ввода ПИН-кода в случаях, если операция совершается в банкомате; операция, совершается в POS-терминале, ПИН-код требуется и ПИН-пад (клавиатура терминала. – Прим. ред.) исправен; операция совершается бесконтактным способом и сумма операции больше 1 тыс. рублей (или соответствующего эквивалента, если операция совершается в валюте, отличной от рублей РФ); в иных случаях, если операция совершается в POS-терминале и банк-эквайер установил обязательную верификацию держателя карты путем ввода ПИН-кода».
Отметим, что это наиболее частый случай, отечественные банки ПИН-кодам доверяют больше. Начальник управления пластиковых карт ВТБ 24 Александр Бородкин также заявил, что «все карты, эмитируемые ВТБ 24, требуют введения ПИН-кода».
Но есть у нас банки, предпочитающие проверку подписи. «У клиентов банка «Авангард» есть возможность выбора приоритета верификации по подписи или ПИН-коду, изменить приоритет можно в любом банкомате банка, – рассказала порталу Банки.ру начальник процессингового центра «Авангарда» Людмила Хлыстун. – По умолчанию у наших карт действительно установлен приоритет верификации по подписи. Это связано с тем, что, к сожалению, в российских торговых сетях до сих пор часто не обеспечены условия для защищенного ввода ПИН-кода при оплате покупок. Есть риск, что его могут увидеть посторонние люди. Но если клиент не часто сталкивается с ситуациями незащищенного ввода ПИН-кода, то он может установить для своей карты приоритет верификации по ПИН-коду».
Аналогично поступает и Тинькофф Банк. «Для вновь выпущенных карт мы по умолчанию устанавливаем как приоритет подписи, так и ввода ПИН-кода, – сообщили нам в пресс-службе банка. – При этом клиенты Тинькофф Банка могут сами выбрать приоритетный способ подтверждения операций по картам: с помощью подписи или посредством ввода ПИН-кода – для этого нужно позвонить в кол-центр, сообщить о своем намерении и совершить контактную операцию по чипу в банкомате или ТСП (торгово-сервисном предприятии. – Прим. ред.)».
Что на самом деле лучше – ПИН-код или подпись – вопрос непростой. Когда в магазине вы вводите ПИН-код, его может увидеть много кто, например покупатель, стоящий за вами в очереди. Терминал, скорее всего, передаст ваш ПИН-код в банк вполне безопасно, а вот подглядеть ПИН-код глазами или камерой совсем не сложно.
Мало кто знает, но во многих случаях покупатель может отказаться от ввода ПИН-кода, если, например, считает это небезопасным, или просто забыл его. Для этого при запросе ПИН-кода надо просто нажать кнопку отмены ввода на клавиатуре терминала. Обычно она хорошо заметна, так как окрашена в красный цвет. В этом случае терминал должен предложить вам следующий по приоритету после ПИН-кодов метод верификации – то есть проверку подписи. У кассира на дисплее терминала появится сообщение, что клиент от ввода ПИН-кода отказался.
Не каждый банк позволяет своим клиентам такие вольности. Альфа-Банк сообщил, что «для карт, которые эмитирует Альфа-Банк, такой сценарий не поддерживается, так как в случае отказа от ввода ПИН-кода держателем карта запретит проведение такой операции».
Как происходит оплата по карте без введения PIN-кода?
Всегда полагал, что для совершения платежа по карте, защищённой PIN-кодом, необходимо этот самый PIN-код вводить, но сегодня убедился в обратном. Зашёл в магазин помидорок купить, а в кармане не оказалось наличных и я расплатился картой (раньше в этом магазине никогда картой не расплачивался), кассир провела картой по считывателю, ввела некую магическую комбинацию на клавиатуре (как только она начала нажимать на клавиши, в голове пронеслись мысли: что она делает и когда даст мне терминал, что бы я смог ввести PIN-код?), нажала Enter и… И в кармане завибрировал телефон: пришло SMS-оповещение об успешном списании О_о
Как происходит подобная операция? Почему это возможно?
Не буду отвечать алгоритмами, но отвечу по другому.
Банковские платежи для физиков делятся грубо говоря на два типа — ‘легко-сложно-отменяемые’ и ‘совсем не отменяемые’. Первые — совершаются какраз без требования PIN-кода. Такие платежи можно откатить соотв. заявлением в банк (например при краже карты или информации с магнитной полосы кардером).
Операции, совершенные с вводом PIN-кода невозвратные, т.е. практически невозможно их отменить (правда я думаю это не совсем невозможно, если будут достаточные основания, например суд).
Кстати необходимость выбора метода авторизации определяется не только наличием чипа на карте (а так же типом платежей, например оплата с кредитной карты с уходом в минус) но и просто конечным оборудованием. В одном магазине. в котором я часто оплачиваю покупки по карте, из трех касс одна вне зависимости от типа карты (дебетовая или нет) не требует от меня PIN-кода, объясняя это ‘такой у нас там терминал’.
Вообщем не соовсем так. Есть старые терминалы и новые. (которые могут толкьо ленту читать и которые могут читать микрочип). В первом случае ответственность за проведение платежа берет на себя банк обслуживающий этот платежный терминал, во втором случае вы сами. Т.е. если кассир ввел не ту сумму, или вам два раза списали без введения пинкода, то по заявлению в банк Вам все вернут. Во втором случае, если вы ввели пинкод и не проверели сумму платежа, то это полностью ваша проблема.
З.ы. Магическая комбинация — это вбивание суммы платежа.
З.З.ы. Операцию с пинкодом можно отменить так-же легко. При наличии чека. По факту приходит тетя с ключем от кассы и снимает платеж, Вам средства вернут на карту в конце отчетного периода (как-правило это месяц.)
Курс доллара и евро
сейчас и на завтра
Чем опасны платежи без ПИН-кода?
С середины апреля вступают в силу новые правила оплаты картами Visa. При бесконтактных платежах без ПИН-кода лимит повышается в три раза — до 3 тыс. рублей. Лайф разбирался, в чём риски нововведения и как не потерять свои деньги при бесконтактной оплате.
Visa разрешит держателям своих карт не вводить ПИН-код при бесконтактной оплате картами покупок на сумму до 3 тыс. рублей. Сейчас его нужно вводить, если платёж превышает 1 тыс. рублей. Повышение суммы, при которой не требуется вводить ПИН-код, объясняется макроэкономической ситуацией и конъюнктурой рынка. Ныне действующий лимит — 1 тыс. рублей — был установлен, когда курс валюты был в два с лишним раза ниже, а сами бесконтактные платежи были новинкой. Сейчас, когда они вошли в привычку, Visa поднимает лимит, чтобы дальше развивать рынок безналичных платежей.
По данным Visa, Россия находится в тройке стран — лидеров по количеству бесконтактных платежей, которые совершаются как с помощью бесконтактных карт, так и с помощью смартфонов (Apple Pay, Samsung Pay, Android Pay и т. п.). По данным Сбербанка, на конец 2018 года в России было выпущено более 270 млн карт и почти 50% операций по ним совершалось бесконтактным способом, хотя ещё в январе 2017 года этот показатель не превышал 1%.По данным исследования Федеральной антимонопольной службы, доля активных карт Visa в России на 1 января 2019 года составляла 39,5% от общего количества. Держатели карт Visa в прошлом году оплатили товары и услуги на 10,4 трлн руб. — это почти половина (47,3%) всех оплаченных картами покупок.
Повышение суммы лимита бесконтактной оплаты сделает процесс покупок с карт и смартфонов более удобным, полагает гендиректор финансового маркета «Юником.24» Юрий Кудряков. По его словам, это повлияет на рост числа и объёмов бесконтактных транзакций. Можно тратить больше и при этом не терять время.
— Повышение лимита оплаты бесконтактных покупок до 3 тыс. руб. является своевременным шагом, — считает инвестиционный стратег «БКС премьер» Светлана Кордо. — Например, при заправке полного бака на АЗС водители уже давно платят около 2 тыс. рублей. Похожая картина наблюдается и при оплате покупок в супермаркетах — если человек закупается хотя бы на два-три дня вперёд, сумма окажется выше 1 тыс. рублей. Повышение лимита для оплаты без необходимости вводить ПИН-код повысит удобство пользования картой.
Впрочем, при увеличении лимита денежных средств при оплате без ввода ПИН-кода может вырасти количество мошенничеств, связанных с физической кражей карты или телефона, предупреждает Юрий Кудряков. По его словам, активность злоумышленников в связи с нововведением возрастёт, ведь для более крупных покупок не будет требоваться введение ПИН-кода.
— Если держатель потеряет свою карту и она попадёт в руки мошеннику, то сумма возможных потерь увеличивается в три раза, — отметила Светлана Кордо.
Кроме того, возрастут потери клиентов при использовании мошенниками специальных устройств — считывателей, указал Юрий Кудряков. По его словам, мошенники используют эти устройства для кражи средств со смартфонов клиентов, использующихся для бесконтактной оплаты, в общественном транспорте и местах большого скопления народа. Считыватель перехватывает сигналы с телефонов на расстоянии 10 метров, пояснил Юрий Кудряков. Правда, если смартфон лежит в закрытой сумке или рюкзаке, сигнал перехватить нельзя, отметил Юрий Кудряков. Если же владелец держит телефон в руках, это шанс для мошенника, пояснил он.
— Риск, что мошенники украдут деньги с вашей карты, считав информацию, есть всегда, — считает замдиректора информационно-аналитического центра «Альпари» Наталья Мильчакова. — Но для этого не нужно носить карту и смартфон в кармане. Если достали карту или смартфон из сумки — внимательно посмотрите, может быть, заметите рядом с вами каких-то подозрительных личностей. И никогда не доверяйте звонкам сомнительных незнакомых людей на ваш мобильный, домашний или даже рабочий телефон — опытные мошенники могут в ходе разговора искусно выведать у вас номер карты, CVV и даже ПИН-код. Никогда и никому эту информацию не сообщайте. А если вам незнакомый человек по телефону задаёт такие вопросы, значит, он точно мошенник.
В связи с увеличением лимита по бесконтактной оплате клиенты банков начнут тратить больше, а доходы у них не растут, заметила Наталья Мильчакова. Проблемы в дальнейшем могут возникнуть у владельцев кредитных карт такого типа — долг всё равно придётся отдавать, а если потратишь по карте слишком много — задолжаешь банку куда большую сумму, чем раньше, предупредила Наталья Мильчакова.
— Чем удобнее человеку оплачивать покупки и услуги, тем легче и чаще во многих случаях он расстаётся с деньгами. Это уже вопрос психологии, — согласна Светлана Кордо. — Можно предположить, что повышение суммы оплаты, при которой не требуется вводить ПИН-код по карте, косвенно будет стимулировать увеличение трат по картам, что нельзя назвать позитивным фактором на фоне снижения реальных располагаемых доходов россиян.