запрос пин кода при оплате картой
Найден способ обхода ввода PIN-кода при бесконтактном способе оплаты картами Visa
Сейчас абсолютное большинство банков предлагает своим клиентам платежные карты, оснащенные NFC-чипом. Он дает возможность оплачивать покупки, товары и услуги бесконтактным способом.
В обычной ситуации задан определенный лимит суммы, свыше которого оплата не пройдет без ввода ПИН-кода. Это является еще одним уровнем защиты от потенциальных злоумышленников. Даже если они завладеют картой, то не смогут потратить слишком большую сумму, давая владельцу время заблокировать платежное средство.
Недавно специалисты из Швейцарии смогли обнаружить серьезную уязвимость у карт Visa с таким NFC-чипом. При определенных условиях, можно совершать покупки на абсолютно любую сумму, не вводя PIN-код.
Примечательно, что для этого не требуются какие-то сверхъестественные навыки и оборудование. Достаточно иметь ту самую карту, с которой необходимо снять или потратить деньги, а также два смартфона, к одному из которых привязывается эта карта, что позволяет совершать оплату при помощи телефона.
В момент оплаты второй смартфон перехватывает транзакцию и быстро меняет ее данные так, чтобы с «точки зрения» платежного средства тут ПИН-код не требовался. Оплата совершается без каких-либо проблем и запрос не поступает. Разумеется, чтобы реализовать такую схему требуется специализированное программное обеспечение, которым специалисты, что вполне логично, не поделились. Они уже направили информацию об уязвимости в Visa, так что в ближайшее время можно ожидать решения проблемы.
Есть ли жизнь без ПИН-кода
При оплате пластиковой картой для подтверждения того, что именно вы являетесь ее держателем, иногда нужно ввести ПИН-код, иногда поставить подпись на чеке, а порою строгий кассир требует и того и другого. Портал Банки.ру решил выяснить, как определяется способ верификации карточного платежа и в чем преимущество каждого из этих способов.
Бытующее среди держателей банковских карт мнение, что чипованная карта обязательно требует ввода ПИН-кода при оплате, а карта без чипа обходится подписью на чеке, в корне неверно. Возможны самые разные варианты. Все зависит от того, как банк-эмитент настроил карту, а банк-эквайер – торговый терминал. Более того, представления эмитента и эквайера о безопасности и удобстве могут не совпадать. Из-за этого могут случаться неожиданности, не всегда приятные.
В соответствии со стандартами международных платежных систем, есть пять CVM (Card Verification Method) – способов, которыми держатель карты при совершении платежа подтверждает (верифицирует) свою личность.
Зашифрованный офлайн-ПИН – самый современный и защищенный способ верификации. Платежный терминал запрашивает ПИН-код, плательщик набирает его на клавиатуре терминала. Полученный ПИН-код терминал зашифровывает с помощью встроенного криптографического чипа и передает в EMV-чип карты на проверку. Такая верификация происходит быстро, а ПИН-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по EMV-чипу и требует наличия криптографического чипа в терминале.
Незашифрованный офлайн-ПИН работает почти так же, как и зашифрованный, с той лишь разницей, что терминал передает ПИН-код в EMV-чип карты в открытом виде. Соответственно, криптографический чип не нужен, но риск компрометации ПИН-кода техническими средствами (например, если платежный терминал заражен вредоносной программой) возрастает.
Онлайн-ПИН – самый старый способ верификации с ПИН-кодом. Клиент набирает на клавиатуре ПИН-код, терминал из ПИН-кода и номера карты формирует ПИН-блок, зашифровывает его (причем используется шифр многократно менее стойкий, чем в случае зашифрованного оффлайн-ПИН), и передает для проверки в процессинговый центр банка-эмитента. Следует учесть, что эмитент ПИН-кодами выпущенных им карт не обладает. Он хранит лишь вычисленное на основе ПИН-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного ПИН-блока после его расшифровки.
По дороге к эмитенту ПИН-блок проходит множество промежуточных узлов, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения торговой точки к процессинговому центру банка-эквайера. Естественно, онлайн-ПИН не работает в случае оффлайн-авторизации, когда у торговой точки нет подключения к банку-эмитенту. Для проверки ПИН-кода карты без чипа может использоваться только этот способ.
Проверка подписи выглядит нетехнологично и доставляет немало проблем магазину – из-за нее ему необходимо долгое время хранить чеки с подписями клиентов. Однако есть у этого метода верификации и несколько преимуществ. Во-первых, он не требует подключения терминала к эмитенту, то есть работает при оффлайн-авторизациях. Во-вторых, укравшему карту злоумышленнику, пусть даже он узнал ПИН-код, будет сложно выдать себя за держателя карты – нужно достоверно изобразить подпись, образец которой обязательно должен иметься на обороте карты. Увы, далеко не всегда кассиры удосуживаются сверить подпись. Не все даже проверяют наличие образца на карте.
Этот вид верификации позволяет достаточно легко опротестовать авторизацию, в отличие от методов с вводом ПИН-кода: если подпись на чеке не совпадет с подписью держателя, банк будет вынужден вернуть ему деньги. Конечно же, вкупе с невнимательностью многих кассиров, это оставляет широкие возможности для мошенничества со стороны особо хитроумных держателей карт. Но банки тоже не лыком шиты: опротестовав авторизацию с верификацией по подписи, держатель может, к примеру, столкнуться с требованием предъявить банку все чеки за все оплаты за последние три месяца.
No-CVM означает отсутствие верификации вообще и используется в тех случаях, когда сумма авторизации невысока и нет нужды запрашивать верификацию. Чаще всего он применяется для бесконтактных платежей при сумме менее 1 тыс. рублей.
Важно понимать, что онлайн-ПИН и офлайн-ПИН могут использоваться при оплате одной и той же картой, в зависимости от обстоятельств, и, по сути, это разные ПИН-коды – один проверяется в чипе карты, другой в процессинговом центре банка-эмитента. Чтобы не морочить держателю карты голову, банки-эмитенты эти коды всегда делают одинаковыми. Но есть разница при смене ПИН-кода: офлайн-ПИН меняется через банкомат, онлайн-ПИН могут поменять в банке, по звонку держателя. При первой возможности они синхронизируются. Обычно банки предлагают держателям лишь один из способов смены ПИН-кодов.
Итак, есть пять методов верификации, и современная чиповая карта обладает ими всеми. Метод, который будет использоваться при совершении очередной оплаты, определяется настройками как EMV-чипа, так и терминала – оба устройства должны «договориться» о том, какой из приемлемых для обеих сторон методов они будут использовать.
Для этого в чип карты загружается CVM-список – файл, определяющий, какие способы верификации поддерживает карта и какие более предпочтительны. К примеру, в этом списке может значиться, что предпочтительным способом является шифрованный офлайн-ПИН. В случае отказа от него должен применяться незашифрованный офлайн-ПИН. В случае отказа от него применяется онлайн-ПИН, далее в случае отказа запрашивается подпись, при отказе от которой операция отклоняется. В терминале есть аналогичный CVM-список, и при выполнении операции он сравнивается со списком в чипе. В результате применяется наиболее предпочтительный из способов, указанных как допустимые в обоих списках.
Рекомендации Visa и MasterCard касательно порядка приоритета способов верификации несколько различаются: так, если Visa рекомендует ставить онлайн-ПИН выше, чем проверку подписи, у MasterCard подпись имеет более высокий приоритет, а в картах Maestro способ No-CVM должен отсутствовать.
На практике CVM-список, загруженный в терминал, зависит как от технических возможностей самого терминала, так и от политики банка-эквайера, а CVM-список в чипе карты банк-эмитент полностью определяет из собственных соображений об удобстве держателей и безопасности операций.
Банки.ру запросил несколько крупных банков об их предпочтительных методах верификации. Пресс-служба Альфа-Банка ответила, что «все ЧИПовые карты, которые эмитирует Альфа-Банк, всегда требуют ввода ПИН-кода в случаях, если операция совершается в банкомате; операция, совершается в POS-терминале, ПИН-код требуется и ПИН-пад (клавиатура терминала. – Прим. ред.) исправен; операция совершается бесконтактным способом и сумма операции больше 1 тыс. рублей (или соответствующего эквивалента, если операция совершается в валюте, отличной от рублей РФ); в иных случаях, если операция совершается в POS-терминале и банк-эквайер установил обязательную верификацию держателя карты путем ввода ПИН-кода».
Отметим, что это наиболее частый случай, отечественные банки ПИН-кодам доверяют больше. Начальник управления пластиковых карт ВТБ 24 Александр Бородкин также заявил, что «все карты, эмитируемые ВТБ 24, требуют введения ПИН-кода».
Но есть у нас банки, предпочитающие проверку подписи. «У клиентов банка «Авангард» есть возможность выбора приоритета верификации по подписи или ПИН-коду, изменить приоритет можно в любом банкомате банка, – рассказала порталу Банки.ру начальник процессингового центра «Авангарда» Людмила Хлыстун. – По умолчанию у наших карт действительно установлен приоритет верификации по подписи. Это связано с тем, что, к сожалению, в российских торговых сетях до сих пор часто не обеспечены условия для защищенного ввода ПИН-кода при оплате покупок. Есть риск, что его могут увидеть посторонние люди. Но если клиент не часто сталкивается с ситуациями незащищенного ввода ПИН-кода, то он может установить для своей карты приоритет верификации по ПИН-коду».
Аналогично поступает и Тинькофф Банк. «Для вновь выпущенных карт мы по умолчанию устанавливаем как приоритет подписи, так и ввода ПИН-кода, – сообщили нам в пресс-службе банка. – При этом клиенты Тинькофф Банка могут сами выбрать приоритетный способ подтверждения операций по картам: с помощью подписи или посредством ввода ПИН-кода – для этого нужно позвонить в кол-центр, сообщить о своем намерении и совершить контактную операцию по чипу в банкомате или ТСП (торгово-сервисном предприятии. – Прим. ред.)».
Что на самом деле лучше – ПИН-код или подпись – вопрос непростой. Когда в магазине вы вводите ПИН-код, его может увидеть много кто, например покупатель, стоящий за вами в очереди. Терминал, скорее всего, передаст ваш ПИН-код в банк вполне безопасно, а вот подглядеть ПИН-код глазами или камерой совсем не сложно.
Мало кто знает, но во многих случаях покупатель может отказаться от ввода ПИН-кода, если, например, считает это небезопасным, или просто забыл его. Для этого при запросе ПИН-кода надо просто нажать кнопку отмены ввода на клавиатуре терминала. Обычно она хорошо заметна, так как окрашена в красный цвет. В этом случае терминал должен предложить вам следующий по приоритету после ПИН-кодов метод верификации – то есть проверку подписи. У кассира на дисплее терминала появится сообщение, что клиент от ввода ПИН-кода отказался.
Не каждый банк позволяет своим клиентам такие вольности. Альфа-Банк сообщил, что «для карт, которые эмитирует Альфа-Банк, такой сценарий не поддерживается, так как в случае отказа от ввода ПИН-кода держателем карта запретит проведение такой операции».
Вот пин, вот порог: ЦБ одобрил рост лимита операций по картам без ввода кода
Центробанк выступил за увеличение размера операций, совершаемых по банковским картам без ввода пин-кода. Об этом «Известиям» сообщили в пресс-службе регулятора. Крупнейшие банки также поддержали рост лимита. Сейчас он составляет 1 тыс. рублей по картам платежных систем «Мир» и MasterСard и 3 тыс. — по «пластику» Visa. Эта мера сократит очереди в супермаркетах, средний чек в которых уже вырос на фоне пандемии, а значит и притормозит распространение коронавируса, уверены в кредитных организациях. Однако последнее слово в этом вопросе — за платежными системами.
С тысячи до двух
Поднять порог покупки, при которой не требуется вводить код, регулятору предложил глава «Опоры России» Александр Калинин. Он выступил с этой инициативой во время совещания с ЦБ. Мера необходима прежде всего, чтобы сократить очереди на кассах супермаркетов и таким образом предотвратить дальнейшее распространение коронавируса. Тем более что в связи с ограничительными мерами граждане стали реже ходить в продуктовые магазины — а значит, вырос средний чек, рассказал «Известиям» Александр Калинин. По его мнению, минимальный размер операции по банковской карте без PIN-кода целесообразно увеличить в два раза: с 1 тыс. до 2 тыс. рублей.
В ЦБ высказались за эту идею, сообщили «Известиям» в пресс-службе регулятора. Там также отметили важность предотвращения потенциальных рисков, которые несет эта мера.
— Мы поддерживаем увеличение лимита операций без подтверждения их PIN-кодом, но только с учетом систем риск-менеджмента, которые участники рынка определяют для себя, — говорится в сообщении регулятора.
Каждая платежная система сама устанавливает величину таких трансакций. Сейчас у MasterСard и «Мир» в России порог составляет 1 тыс. рублей, у Visa — 3 тыс. рублей, сообщили «Известиям» представители платежных систем. Эта величина носит рекомендательно-разрешительный характер, и банки могут сами устанавливать собственные лимиты в пределах этого значения, пояснили в Visa.
Впрочем, россияне активно используют оплату умными устройствами (например, через Apple Pay или Google Pay на смартфоне) — в этом случае PIN-код вводить не требуется при покупке на любую сумму, поскольку подтверждение транcакции происходит на самом устройстве с помощью touch ID или Face ID, сообщили в MasterCard. По данным финансовой организации, в 2018 году Россия была на первом месте в мире по числу оплат умными устройствами.
Для «Мира» повышение порога по операциям без пин-кода в настоящее время не планируется, заявили в Национальной системе платежных карт (НСПК выступает оператором карт «Мир»).
Банки за
«Известия» спросили крупнейшие банки о том, как они оценивают предложение о повышении лимита операций по картам без ввода PIN-кода. Большинство из них выступили за повышение порога.
Мера, которая исключает касание PIN-пада, однозначно целесообразна в условиях карантина, отметил начальник управления транзакционного бизнеса банка «Открытие» Дмитрий Бочаров. Он добавил, что повышение лимитов оплаты без введения кода подтверждения транcакции повышает удобство использования карты и в целом создает позитивный опыт безналичных платежей.
Чем проще для клиента провести операцию по карте, тем больше покупок он совершает, уверен начальник управления эквайринга ПСБ Никита Хомутов. Он отметил, что повышение порога будет востребовано и после карантина, причем настроить новые параметры можно будет за несколько дней.
У большинства граждан несколько карт, PIN-коды от которых в лучшем случае пишут на бумажке или в телефоне, а часто и вовсе забывают, поделился председатель правления банка «Восточный» Вячеслав Арутюнян. Зачастую процесс оплаты превращается в поиск пароля, что увеличивает время обслуживания и приводит к очередям. Расширение лимита позволит меньше соприкасаться с платежным терминалом и снизит риск распространения инфекции, уверен он.
С учетом роста среднего чека актуальность действующего ограничения снижается, подтвердили в Ак Барс Банке. А возможность не вводить PIN-код — важный шаг к безопасности клиентов в условиях сложной эпидемиологической ситуации.
По статистике Банка ДОМ.РФ, более 85% операций с помощью терминала приходится на сумму до 2000 рублей, сообщил директор розничных продуктов организации Евгений Шитиков. При этом в московских гипермаркетах средний чек превышает 3 тыс. рублей, сообщили «Известиям» в IT-компании «Эвотор». Там выразили уверенность, что увеличение лимита бесконтактных покупок с помощью карты особенно актуально в крупных городах.
Инициативу поддержали также в Хоум Кредит Банке и РНКБ.
Впрочем, в ВТБ потенциальное нововведение не одобрили, отметив, что не видят значительного запроса от клиентов на увеличение лимитов. Граждане, для которых важна скорость проведения операции, уже выбирают оплату с помощью смартфона, отметили в банке.
Без крупного риска
Большинство кредитных организаций допустили, что предложенные коррективы увеличат риски мошенничества. Так, например, если гражданин потерял карту, злоумышленники смогут с ее помощью совершать более крупные покупки без проведения аутентификации, предупредили в Ак Барс Банке. Такой риск есть и при существующих лимитах в 1 тыс. рублей, возразили в ПСБ. Чтобы его избежать, следует блокировать карту в момент обнаружения потери.
Вряд ли увеличение порога до 2 тыс. рублей приведет к серьезным негативным последствиям, как с точки зрения всплеска преступности, так и с точки зрения активности в использовании карт, уверен управляющий директор рейтингового агентства НКР Станислав Волков. Тем не менее некоторые опасения оправданны — например, когда нет возможности оперативно получить SMS о трансакциях или позвонить в банк. По его словам, идеальной мерой было бы предоставление человеку возможности самостоятельно установить индивидуальный порог для покупок без PIN-кода, например, в пределах предлагаемых 2 тыс. рублей.
Некоторые россияне опасаются, что с бесконтактных карт можно легко украсть деньги, например, с помощью специального устройства в общественном месте. Теоретически это возможно сделать с помощью подставного POS-терминала, но тогда мошеннику нужно зарегистрировать устройство в налоговой и иметь счет в банке на юрлицо, пояснил руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.
Он уверен, что из-за жалоб клиентов этот счет быстро заблокируют, а деньги заморозят до того, как злоумышленник их выведет. Увеличение порога для транcакций без PIN-кода в этом случае не несет крупных рисков, резюмировал эксперт.
Банки увеличивают лимиты для карточных платежей без подтверждения
Платежная система «Мир» увеличила до 3 тыс. руб. лимит для покупок, по которым можно не вводить пин-код для увеличения безопасности и скорости операций. Такие лимиты есть и у международных платежных систем. Однако отдельные банки разрешают проводить операции, в несколько раз превышающие такие лимиты.
Платежная система «Мир» увеличила лимит для операций без подтверждения пин-кодом при бесконтактных платежах по своим картам с 1 тыс. руб. до 3 тыс. руб. «В настоящее время отмечается заметное увеличение доли операций, требующих ввода пин-кода по бесконтактным картам “Мир” в POS-терминалах»,— пояснили в платежной системе. «НСПК (оператор “Мира”) считает целесообразным увеличить лимит для сумм операций, проводимых по бесконтактным картам “Мир” без ввода пин-кода, и этот лимит повышен до 3 тыс. руб.»,— подтвердили в НСПК.
Тогда в «Мире» заявляли, что большинство операций платежной системы укладываются в лимит 1 тыс. руб., повышать который не планировалось.
По словам руководителя департамента эквайринга ВТБ Алексея Киричека, включением настроек лимита платежей без введения пин-кода занимаются сами банки-эквайеры. Окончательное решение о сумме всегда остается на стороне банков, подтвердили в Mastercard. Директор департамента эквайринга банка «Русский стандарт» Инна Емельянова считает, что такое решение «Мира» своевременно: «Сумма в 3 тыс. руб. покрывает самые актуальные средние чеки бытовых трат в продуктовых магазинах “у дома”, фастфуде, кафе и др.».
Впрочем, ряд банков, как эмитентов, так и эквайеров, разрешают совершать покупки без подтверждения пин-кодом на суммы, существенно превышающие лимиты платежных систем. По словам одного из собеседников “Ъ”, недавно он купил в магазине телефон стоимостью 54 тыс. руб., оплатил его картой Mastercard банка «Тинькофф» и от него не потребовали ввести пин-код. В Сбербанке, который обслуживает данный магазин как эквайер, “Ъ” сообщили, что данная операция абсолютно законна и достаточно распространена. «Она прошла в полном соответствии с правилами платежной системы. Выбор способа аутентификации клиента и подтверждения операции происходит в ходе диалога карты и терминала, исходя из настроек, определенных в том числе и эмитентом»,— пояснили там. В банке «Тинькофф» “Ъ” сообщили, что ограничение по сумме, после которой нужно вводить пин-код, устанавливает банк-эквайер терминала. При этом признали, что позволяют своим клиентам отключать подтверждение операций с помощью пин-кода для их удобства.
Однако необходимо, чтобы соответствующую операцию разрешил не только банк, обслуживающий торговую точку, но и банк, выпустивший карту. При этом, как пояснили “Ъ” несколько экспертов, отключать пин-код необязательно, достаточно, чтобы банк-эмитент выставил в качестве приоритетного способа аутентификации клиента подпись на чеке, а не пин-код. И тогда в торговой точке, где снят лимит на запрос пин-кода для покупок на крупную сумму, оплата по такой карте пройдет без его ввода.
Пять способов верификации карты на кассе в магазине
При оплате пластиковой картой для подтверждения того, что именно вы являетесь ее держателем, иногда нужно ввести ПИН-код, иногда поставить подпись на чеке, а порою строгий кассир требует и того и другого. Портал Банки.ру решил выяснить, как определяется способ верификации карточного платежа и в чем преимущество каждого из этих способов.
Бытующее среди держателей банковских карт мнение, что чипованная карта обязательно требует ввода ПИН-кода при оплате, а карта без чипа обходится подписью на чеке, в корне неверно. Возможны самые разные варианты. Все зависит от того, как банк-эмитент настроил карту, а банк-эквайер – торговый терминал. Более того, представления эмитента и эквайера о безопасности и удобстве могут не совпадать. Из-за этого могут случаться неожиданности, не всегда приятные.
В соответствии со стандартами международных платежных систем, есть пять CVM (Card Verification Method) – способов, которыми держатель карты при совершении платежа подтверждает (верифицирует) свою личность.
Зашифрованный офлайн-ПИН
Самый современный и защищенный способ верификации. Платежный терминал запрашивает ПИН-код, плательщик набирает его на клавиатуре терминала. Полученный ПИН-код терминал зашифровывает с помощью встроенного криптографического чипа и передает в EMV-чип карты на проверку. Такая верификация происходит быстро, а ПИН-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по EMV-чипу и требует наличия криптографического чипа в терминале.
Незашифрованный офлайн-ПИН
Работает почти так же, как и зашифрованный, с той лишь разницей, что терминал передает ПИН-код в EMV-чип карты в открытом виде. Соответственно, криптографический чип не нужен, но риск компрометации ПИН-кода техническими средствами (например, если платежный терминал заражен вредоносной программой) возрастает.
Онлайн-ПИН
Самый старый способ верификации с ПИН-кодом. Клиент набирает на клавиатуре ПИН-код, терминал из ПИН-кода и номера карты формирует ПИН-блок, зашифровывает его (причем используется шифр многократно менее стойкий, чем в случае зашифрованного оффлайн-ПИН), и передает для проверки в процессинговый центр банка-эмитента. Следует учесть, что эмитент ПИН-кодами выпущенных им карт не обладает. Он хранит лишь вычисленное на основе ПИН-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного ПИН-блока после его расшифровки.
По дороге к эмитенту ПИН-блок проходит множество промежуточных узлов, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения торговой точки к процессинговому центру банка-эквайера. Естественно, онлайн-ПИН не работает в случае оффлайн-авторизации, когда у торговой точки нет подключения к банку-эмитенту. Для проверки ПИН-кода карты без чипа может использоваться только этот способ.
Проверка подписи
Проверка подписи выглядит нетехнологично и доставляет немало проблем магазину – из-за нее ему необходимо долгое время хранить чеки с подписями клиентов. Однако есть у этого метода верификации и несколько преимуществ. Во-первых, он не требует подключения терминала к эмитенту, то есть работает при оффлайн-авторизациях. Во-вторых, укравшему карту злоумышленнику, пусть даже он узнал ПИН-код, будет сложно выдать себя за держателя карты – нужно достоверно изобразить подпись, образец которой обязательно должен иметься на обороте карты. Увы, далеко не всегда кассиры удосуживаются сверить подпись. Не все даже проверяют наличие образца на карте.
Этот вид верификации позволяет достаточно легко опротестовать авторизацию, в отличие от методов с вводом ПИН-кода: если подпись на чеке не совпадет с подписью держателя, банк будет вынужден вернуть ему деньги. Конечно же, вкупе с невнимательностью многих кассиров, это оставляет широкие возможности для мошенничества со стороны особо хитроумных держателей карт. Но банки тоже не лыком шиты: опротестовав авторизацию с верификацией по подписи, держатель может, к примеру, столкнуться с требованием предъявить банку все чеки за все оплаты за последние три месяца.
No-CVM
No-CVM означает отсутствие верификации вообще и используется в тех случаях, когда сумма авторизации невысока и нет нужды запрашивать верификацию. Чаще всего он применяется для бесконтактных платежей при сумме менее 1 тысячи рублей.
Важно понимать, что онлайн-ПИН и офлайн-ПИН могут использоваться при оплате одной и той же картой, в зависимости от обстоятельств, и, по сути, это разные ПИН-коды – один проверяется в чипе карты, другой в процессинговом центре банка-эмитента. Чтобы не морочить держателю карты голову, банки-эмитенты эти коды всегда делают одинаковыми. Но есть разница при смене ПИН-кода: офлайн-ПИН меняется через банкомат, онлайн-ПИН могут поменять в банке, по звонку держателя. При первой возможности они синхронизируются. Обычно банки предлагают держателям лишь один из способов смены ПИН-кодов.
Итак, есть пять методов верификации, и современная чиповая карта обладает ими всеми. Метод, который будет использоваться при совершении очередной оплаты, определяется настройками как EMV-чипа, так и терминала – оба устройства должны «договориться» о том, какой из приемлемых для обеих сторон методов они будут использовать.
Для этого в чип карты загружается CVM-список – файл, определяющий, какие способы верификации поддерживает карта и какие более предпочтительны. К примеру, в этом списке может значиться, что предпочтительным способом является шифрованный офлайн-ПИН. В случае отказа от него должен применяться незашифрованный офлайн-ПИН. В случае отказа от него применяется онлайн-ПИН, далее в случае отказа запрашивается подпись, при отказе от которой операция отклоняется. В терминале есть аналогичный CVM-список, и при выполнении операции он сравнивается со списком в чипе. В результате применяется наиболее предпочтительный из способов, указанных как допустимые в обоих списках.
Рекомендации Visa и MasterCard касательно порядка приоритета способов верификации несколько различаются: так, если Visa рекомендует ставить онлайн-ПИН выше, чем проверку подписи, у MasterCard подпись имеет более высокий приоритет, а в картах Maestro способ No-CVM должен отсутствовать.
На практике CVM-список, загруженный в терминал, зависит как от технических возможностей самого терминала, так и от политики банка-эквайера, а CVM-список в чипе карты банк-эмитент полностью определяет из собственных соображений об удобстве держателей и безопасности операций.
Банки.ру запросил несколько крупных банков об их предпочтительных методах верификации.
Пресс-служба Альфа-Банка ответила, что «все ЧИПовые карты, которые эмитирует Альфа-Банк, всегда требуют ввода ПИН-кода в случаях, если операция совершается в банкомате; операция, совершается в POS-терминале, ПИН-код требуется и ПИН-пад (клавиатура терминала. – Прим. ред.) исправен; операция совершается бесконтактным способом и сумма операции больше 1 тыс. рублей (или соответствующего эквивалента, если операция совершается в валюте, отличной от рублей РФ); в иных случаях, если операция совершается в POS-терминале и банк-эквайер установил обязательную верификацию держателя карты путем ввода ПИН-кода».
Отметим, что это наиболее частый случай, отечественные банки ПИН-кодам доверяют больше. Начальник управления пластиковых карт ВТБ 24 Александр Бородкин также заявил, что «все карты, эмитируемые ВТБ 24, требуют введения ПИН-кода».
Но есть у нас банки, предпочитающие проверку подписи. «У клиентов банка «Авангард» есть возможность выбора приоритета верификации по подписи или ПИН-коду, изменить приоритет можно в любом банкомате банка, – рассказала порталу Банки.ру начальник процессингового центра «Авангарда» Людмила Хлыстун. – По умолчанию у наших карт действительно установлен приоритет верификации по подписи. Это связано с тем, что, к сожалению, в российских торговых сетях до сих пор часто не обеспечены условия для защищенного ввода ПИН-кода при оплате покупок. Есть риск, что его могут увидеть посторонние люди. Но если клиент не часто сталкивается с ситуациями незащищенного ввода ПИН-кода, то он может установить для своей карты приоритет верификации по ПИН-коду».
Аналогично поступает и Тинькофф Банк. «Для вновь выпущенных карт мы по умолчанию устанавливаем как приоритет подписи, так и ввода ПИН-кода, – сообщили нам в пресс-службе банка. – При этом клиенты Тинькофф Банка могут сами выбрать приоритетный способ подтверждения операций по картам: с помощью подписи или посредством ввода ПИН-кода – для этого нужно позвонить в кол-центр, сообщить о своем намерении и совершить контактную операцию по чипу в банкомате или ТСП (торгово-сервисном предприятии. – Прим. ред.)».
Что на самом деле лучше – ПИН-код или подпись – вопрос непростой. Когда в магазине вы вводите ПИН-код, его может увидеть много кто, например покупатель, стоящий за вами в очереди. Терминал, скорее всего, передаст ваш ПИН-код в банк вполне безопасно, а вот подглядеть ПИН-код глазами или камерой совсем несложно.
Мало кто знает, но во многих случаях покупатель может отказаться от ввода ПИН-кода, если, например, считает это небезопасным, или просто забыл его. Для этого при запросе ПИН-кода надо просто нажать кнопку отмены ввода на клавиатуре терминала. Обычно она хорошо заметна, так как окрашена в красный цвет. В этом случае терминал должен предложить вам следующий по приоритету после ПИН-кодов метод верификации – то есть проверку подписи. У кассира на дисплее терминала появится сообщение, что клиент от ввода ПИН-кода отказался.