Beskontaktno plaćanje i hrvatska praksa
Prisloni i plati
PIŠE MATE STRGAČIĆ
Od kartonskih kreditnih kartica do sustava za beskontaktno plaćanje - nisu se mnogo promijenili principi, ali jest tehnologija.
Povijest kreditnih kartica seže u početak prošlog stoljeća. One prve izdavali su pojedini trgovci i vrijedile su isključivo u njihovim dućanima. No, prva bankovna kreditna kartica izdana je 1946. godine - gdje drugdje negoli u kolijevci kapitalizma SAD-u, a napravljeni troškovi naplaćivali su se obvezno do kraja tekućeg mjeseca, tako da zapravo i nije bila kreditna kartica u pravom smislu riječi. Prva kartičarska kuća - Diners proradila je davne 1950. godine. Zanimljivo je da su prve kartice bile napravljene od kartona dok su se plastične, kakve su i danas, pojavile šezdesetih godina prošlog stoljeća. Osim materijala, tada je prvi put predstavljen i sustav gdje se cjelokupni iznos nije morao podmiriti do kraja tekućeg mjeseca već se dug mogao prenijeti i u sljedeći.
Brzo i praktično
Na internetu ima mnogo praktičnih primjera kako se uz pomoć antene iz domaće radinosti, prijenosnog računala i određene aplikacije mogu krasti podaci s beskontaktne kartice
Priča o beskontaktnom plaćanju započinje 1997. kad je naftna kompanija Mobil predstavila SpeedPass - vlastiti sustav beskontaktnog plaćanja. No, nije se plaćalo karticom već se pojavio uređaj u obliku privjeska koji se mogao zakvačiti na prsten s ključevima.
Trenutno je u europskoj uniji u opticaju više od 51 milijun beskontaktnih kartica kojima se može plaćati na više od 671.000 terminala postavljenih u maloprodajnim marketima i ugostiteljskim objektima. Osim što taj način plaćanja potrošačima pruža puno više slobode te značajno olakšava i ubrzava samo plaćanje, od njega imaju koristi i prodavači koji prema statističkim podacima ostvaruju veći promet i smanjuju troškove koje neizbježno donosi manipulacija gotovinom.
Sve što kupac treba napraviti pri plaćanju beskontaktnom karticom jest približiti je EFT POS (Electronic Funds Transfer at Point Of Sale) terminalu. Obično je sustav koncipiran tako da do određenog iznosa transakciju ne treba autorizirati već se zaključuje automatski. U Hrvatskoj je granični iznos 100 kuna, a za svaku veću kupnju transakciju treba autorizirati PIN-om. Plaćanje klasičnom karticom traje prosječno tridesetak sekundi dok se kod beskontaktnog plaćanja to vrijeme skraćuje na svega desetak sekundi. Ako se kartica više puta približi EFT POS uređaju mnogi ljudi strahuju od višestruke naplate, no sustav je tehnički tako uređen da to nije moguće. Slip se ne izdaje automatski već isključivo na vaš zahtjev.
Tehnologija koja omogućuje da pametni telefon pretvorimo u EFT POS uređaj može nam uvelike olakšati život, pogotovo ako često radimo na terenu bez fiksne infrastrukture.
Statistika pokazuje da širu primjenu ove tehnologije koči nedostatak prodajnih mjesta s odgovarajućim EFT POS terminalima. Drugi je razlog zaziranje od nove tehnologije i (ne)opravdan strah za sigurnost osobnih podataka.
Protokoli, frekvencije i neizbježna sigurnost
Međunarodni standard ISO/IEC 14443 definira uvjete koje moraju zadovoljavati takve kartice i protokoli za komunikaciju s terminalom. Među ostalim određuje se da maksimalna udaljenost između kartice i terminala ne smije biti veća od deset centimetara (tri do pet u praksi) te da je frekvencija na kojoj komuniciraju ta dva objekta 13.56 MHz, no uz te podatke navodi se još niz tehničkih detalja vezanih za snagu odašiljanja i karakteristike protokola.
Kao i kod klasičnih kontaktnih i kod beskontaktnih kartica informacije su smještene na njenom čipu. Međutim glavna je razlika način na koji se taj čip napaja električnom energijom. Kod klasične kartice to je fizički kontakt između izvora električne energije (EFT POS terminala) i samog čipa, a kod beskontaktne varijante to je magnetsko odnosno elektromagnetsko polje (koje generira terminal) kako bi se na čipu inducirao napon uz pomoć kojega se uspostavlja bežična komunikacija.
Tijekom komunikacije kartica šalje osjetljive podatke - broj računa, datum isteka kartice, ime i prezime vlasnika te čak iznose i datume posljednjih transakcija. Ta bi komunikacija morala biti osigurana snažnim enkripcijskim algoritmima da se prevenira krađa i zlouporaba osobnih informacija, no trenutne mogućnosti protokola su takve da se podaci prenose kao jasni (plain) tekst! Sustav je donekle osiguran tako da čak i ako napadač na neki način dođe do podataka (što je u praksi prilično teško) ne može plaćati tuđom karticom npr. putem interneta jer se CVV - troznamenkasti broj - nužan za transakciju stalno mijenja dok je kod klasičnih kartica uvijek isti, a nalazi se na poleđini uz polje s potpisom. Sličan se sustav primjenjuje kad za internetsko bankarstvo upotrebljavate token koji generira uvijek drukčije šifre, a sinkroniziran je s bančinim sustavom. CVV ima maksimalno tisuću kombinacija pa ga se, barem teorijski, može brzo hakirati brute force napadom.
Kao i kod svake nove tehnologije, implementacijom beskontaktnog plaćanja otvoren je novi set ranjivosti koje nastoje iskoristiti hakeri. Unatoč brojnim pokušajima kompromitacije, beskontaktno se plaćanje u praksi pokazalo iznimno sigurno, a najčešće se napada sama kartica te se s nje pokušavaju izvući povjerljivi podaci, što je obično moguće samo u kontroliranim uvjetima ili kao proof-of-concept.
Na vlastitu odgovornost
Unatoč iznimnoj sigurnosti sustava ipak treba poštovati sigurnosne postulate koji vrijede i za klasične kontaktne kartice. Krađu ili gubitak treba odmah prijaviti izdavatelju. Na beskontaktne kartice primjenjuju se ista sigurnosna jamstva kao i na kontaktne. Dakle, sve troškove koji nastanu do prijave krađe ili gubitka snosi vlasnik kartice. Kao dodatno upozorenje parafrazirat ćemo dr. Petera Gutmanna, stručnjaka za računalnu kriptografiju s odjela za računalstvo Sveučilišta Auckland, koji je ustvrdio da na plaćanje beskontaktnom kreditnom karticom možemo gledati kao da smo klasičnu karticu dali u ruke svima u blizini da s nje slobodno pročitaju sve informacije nužne pri plaćanju.
To je možda malo pretjerano, ali nije daleko od istine. Doktor Gutmann tu tvrdnju temelji na slabostima protokola u komuniciranju s terminalom. Rekli smo da protokol prenosi informacije u nešifriranom obliku, a karticu je jednostavno natjerati da emitira podatke. Na internetu ima mnogo i praktičnih primjera kako se uz pomoć antene iz domaće radinosti, prijenosnog računala i određene aplikacije mogu krasti podaci s beskontaktne kartice. Većina se oslanja na kratki domet te komunikacije pa se zbog toga osjeća zaštićeno. No, priručni uređaji za krađu podataka trebaju više energije od klasičnih beskontaktnih EFT POS terminala tako da mogu komunicirati s karticom i na udaljenosti većoj od pola metra. Statistički gledano, teško da će vam se dogoditi nešto slično, no uza sve prednosti te tehnologije moramo biti svjesni i njenih ranjivosti.
Uz beskontaktne kartice pojavili su se i RFID-blocking novčanici koji imaju karakteristike Faradayeva kaveza pa blokiraju radiovalove i sprečavaju neovlašteno očitavanje podataka s kartice u novčaniku. Plaćate li pak beskontaktno pametnim telefonom preporučuje se uključiti NFC opciju samo tijekom plaćanja.
Iako je kod nas zbog dugogodišnje financijske krize ta tehnologija još u povojima ipak sve više banaka uz klasične čip-kartice nudi i ove za beskontaktno plaćanje. Danas je teško zamisliti poslovanje bez gotovine, no da to nije utopija pokazuje primjer američke države Louisiane gdje je naprimjer second-hand robu zabranjeno kupovati gotovinom. Tehnički uvjeti za bezgotovinsko društvo već su ispunjeni, no problem je u načinu razmišljanja i prirodnom otporu prema modifikaciji postojećih obrazaca. Velika prednost bezgotovinskog društva jest smanjenje sive ekonomije jer bi svaka primljena kuna ili euro morali imati pokriće kroz račun. Negativna je pak strana takvog sustava ugrožavanje privatnosti - svaka bi transakcija bila personalizirana, a žute bi medije sigurno zanimalo na što troše novac političari ili estradne zvijezde.
Statistike pokazuju da osoba koja plaća beskontaktnom karticom u prosjeku troši 25 % više novca negoli onaj tko plaća gotovinom. Jasno je tko tu izvlači najveću korist.
Najnovije generacije pametnih telefona uz obilje novih funkcija omogućuju i beskontaktno plaćanje. Uređaj mora imati NFC (Near Field Communication) opciju i treba preuzeti neku od aplikacija za beskontaktno plaćanje koja se povezuje s online računom ili nekom kreditnom karticom. Tako pripremljen uređaj dovoljno je približiti čitaču na udaljenosti nekoliko centimetara kako bi se ostvarila radioveza između njega i EFT POS terminala za prijenos podataka i plaćanje.
Sigurnost takvog plaćanja je vrlo visoka, a aplikacije imaju višeslojne zaštitne mehanizme. Na prvome je mjestu PIN koji treba svakako aktivirati pri plaćanju pametnim telefonom. Osim PIN-a na uređaju i sama aplikacija zaštićena je posebnim PIN-om koji treba ukucati pri njenom aktiviranju. Svi podaci o kreditnim karticama najprije se šifriraju i zatim smještaju na NFC čip u smartphoneu. Zahvaljujući jakim enkripcijskim algoritmima podatke nije moguće preuzeti čak i ako napadač uzme smartphone u ruku.
Osim jednostavnijeg plaćanja beskontaktni sustavi olakšavaju i iskorištenje bodova kojima pojedini trgovački lanci nagrađuju vjernost potrošača. Ujedno, lakše prate potrošačke navike pa mogu bolje prilagoditi svoj asortiman željama i navikama kupaca. Mnogo je praktičnije sve čuvati na jednom uređaju negoli nositi sa sobom svu silu različitih kartica vjernosti.
Još jedna zanimljiva i iznimno praktična stvar - pametni telefon može poslužiti i kao čitač kreditnih kartica. Sve što vam za tu rabotu treba jest čitač kreditnih kartica koji se priključuje direktno na pametni telefon i aplikacija koja prenosi novčana sredstava čim unesete vrijednost transakcije. To je idealna metoda za ljude na terenu koji obično barataju isključivo gotovinom.
