Wielka zmiana na kartach płatniczych. Mastercard zapowiada rewolucję

Dostawcy usług internetowych i bankowych od lat ostrzegają o niebezpieczeństwach związanych z ręcznym wpisywaniem tradycyjnych haseł czy kodów PIN. Bez uwierzytelniania wieloskładnikowego (MFA) lub biometrycznego nawet silne hasło nie stanowi większej trudności dla przestępców.

Od przeszło dekady wielu dostawców wspiera bezhasłowe (ang. passwordless) metody uwierzytelniania, wliczając w to rozpoznawanie odcisku palca czy rozpoznawanie twarzy. Są one jednak póki co opcjonalne i rzadko kiedy od użytkownika wymaga się np. skanowania linii papilarnych albo twarzy. Póki co, aby zalogować się albo zatwierdzić płatność kartą, w większości przypadków wystarczy pisać login i hasło bądź też numer karty płatniczej i kod CVV, kod PIN lub jednorazowy token. A gdy płacimy zbliżeniowo kartą albo telefonem, w ogóle nie musimy niczego wpisywać.

Wszystko wskazuje na to, że biometria przejdzie do porządku dziennego - przynajmniej u drugiego największego dostawcy kart płatniczych. Mastercard zapowiedział rewolucyjne zmiany, które radykalnie odmienią doświadczenie płatności kartą. Spółka i organizacja zrzeszająca wydawców kart zamierza usunąć z nich charakterystyczny, 16-cyfrowy numer karty, który do tej pory był tłoczony w plastiku. Mastercard nie zakomunikował oficjalnie tej decyzji w swoich kanałach, ale zapytany o to potwierdził, że faktycznie ona zapadła i dotyczyć będzie także Polski. Planuje też wyeliminować hasła - zarówno te statyczne, jak i jednorazowe.

Usunięcie numeru karty (i prawdopodobnie też kodu CVV) ma chronić bezpieczeństwo ich właścicieli. Nie wszyscy zdają sobie bowiem sprawę, jak łatwo jest podejrzeć te numery i wykorzystać je do nielegalnej działalności. Niektóre osoby wrzucają nawet do internetu zdjęcia swoich kart płatniczych. Te numery mogą być także sczytywane przez kamery monitoringu wbudowane w urządzenia przy kasach albo podpatrzone przez złodzieja, gdy wyciągamy kartę w sklepie. Podobnie monitorowane przez nielegalne urządzenia mogą być klawiatury do wpisywania kodu PIN. Dotyczy to zarówno kamer, jak i nakładek na klawiaturę, które w połączeniu ze skimmerami (urządzeniami kopiującymi danych z paska magnetycznego) pozwalają przestępcom kopiować karty i wykradać pieniądze z konta.

Mastercard potwierdził, że do 2030 roku wyeliminuje konieczność wpisywania numeru karty i hasła. Zamiast tego klienci będą mogli uwierzytelniać się wieloskładnikowo - łącząc tokeny z biometrią. Uwierzytelnianie dwuskładnikowe (2FA) znamy dobrze z usług takich jak choćby konto Gmail. Oprócz tradycyjnego hasła tekstowego potwierdzamy logowanie np. kodem SMS. Specjaliści od cyberbezpieczeństwa ostrzegają jednak, że nie jest to najmocniejsza ochrona. Dużo lepszą zapewnia biometria. Certyfikowane kamery i czytniki linii papilarnych znacznie trudniej jest oszukać.

Wygląda na to, że nowy system uwierzytelniania nie będzie obligatoryjny - przynajmniej na początku. Wymagałoby to bowiem zmiany całej infrastruktury płatniczej na świecie. Każdy terminal, komputer czy telefon musiałby zostać wyposażony w czytnik linii papilarnych albo certyfikowaną kamerę do skanowania twarzy. Póki co - niewykonalne, chyba że czytnik zostanie wbudowany w same karty, co akurat jest możliwe. Tak czy inaczej będzie to raczej możliwość niż konieczność dla klientów.

Osoby uczulone na punkcie prywatności mogą mieć opory przed skanowaniem swojego ciała, natomiast osoby dbające o bezpieczeństwo swoich finansów z pewnością z tego skorzystają.

Nie wiadomo, czy Mastercard usunie z kart także pasek magnetyczny. Niektórzy - w tym Allegro Pay - już to zrobili. Możliwe, że zmiany wprowadzi także Visa, choć na razie nie było jeszcze takich zapowiedzi.