Bezpieczne płatności: 3D Secure wciąż niepopularne

Przeczytaj także: Jak sprawdzić czy sklep internetowy jest wiarygodny?

Część użytkowników kart ze względów bezpieczeństwa obawia się płacić nimi w Internecie. Te obawy mają pewne uzasadnienie, bo płatności bez fizycznej obecności karty rzeczywiście wydają się zabezpieczone najsłabiej spośród wszystkich typów transakcji kartowych. Do podjęcia gotówki z bankomatu potrzebne jest posiadanie karty i znajomość kodu PIN. Przy klasycznej płatności bezgotówkowej wymagana jest karta i PIN lub podpis. Mniej restrykcyjne są zasady wykonywania płatności zbliżeniowych. Tu aby zapłacić za towar lub usługę, wystarczy jedynie mieć kartę w portfelu posiadanie karty – jednak systemowe ograniczenia liczby i kwoty transakcji, które można w ten sposób wykonać, zwiększają bezpieczeństwo takiego rozwiązania.

Ilościowych ani kwotowych ograniczeń nie ma natomiast przy płatnościach internetowych (chyba że bank pozwala posiadaczom kart indywidualnie ustalić kwotowy limit dla transakcji zdalnych). Choć można w ten sposób dokonywać płatności na wysokie kwoty, transakcje odbywają się bez weryfikacji kodu PIN i podpisu użytkownika. Wystarczy, że osoba dokonująca internetowych zakupów zna numer karty i podstawowe dane jej użytkownika. To może rodzić obawy, że osoba nieuprawniona posłuży się skradzioną lub znalezioną kartą. Jej legalnemu użytkownikowi pozostaje wtedy droga reklamacyjna.
Dodatkowe hasło potwierdza tożsamość płacącego

Sposobem, by do takich nadużyć dochodziło rzadziej, jest dodatkowe zabezpieczenie zdalnych transakcji w standardzie 3D Secure (dla kart Visa nosi ono nazwę Verified by Visa, zaś dla kard MC: MasterCard Secure Code). W największym uproszczeniu polega ono na tym, że bank wyraża zgodę na obciążenie karty kwotą transakcji dopiero wtedy, gdy klient dokonujący płatności dodatkowo potwierdzi, że jest uprawniony do jej wykonania. Stosowany jest tu identyczny rodzaj uwierzytelnienia, co w systemie bankowości internetowej. Klient jest więc przekierowywany z e-sklepu do serwisu internetowego swojego banku, a tam musi wpisać jednorazowe hasło. Może to być np. kod SMS wysłany przez bank na zarejestrowany w systemie numer telefonu komórkowego klienta lub odczyt hasła wygenerowanego przez przekazany tej osobie token. W efekcie przy płatnościach internetowych uzyskuje się taki sam poziom bezpieczeństwa, jak przy zleceniach wydawanych w systemie bankowości internetowej.

Zabezpieczenie działa dopiero w trzech bankach

Najdłużej, bo już od roku 2008, z 3D Secure korzystają klienci BZ WBK. Bank wyposażył w tę usługę wszystkie wydawane karty. Po aktywacji 3D Secure klienci tego banku potwierdzają transakcje dokonywane w sklepach internetowych kodem SMS lub kodem z tokena – w zależności od tego, którego rozwiązania używają na co dzień we współpracy z bankiem.