Tiesitkö että lain mukaan yksityistä pysäköintivalvontamaksua ei tarvitse maksaa!
Lue lisää: Älä maksa yksityistä sakkoa!

lauantaina, huhtikuuta 19, 2014

Etäluettavat maksukortit eivät ole turvallisia

Suomessa on vuoden aikana yleistyneet etäluettavat maksukortit. Pankit tarjoavat uusia kortteja automaattisesti asiakkailleen kortin uusinnan yhteydessä. Samalla pankit väittävät sumeilematta korttien olevan luetettavia käyttää ja lisäävän varsinaisen maksutapahtuman turvallisuutta ostosten maksamisen yhteydessä. Osittain tämä onkin totta, mutta pankit ovat myös samalla tehokkaasti vaienneet etäluettavien maksukorttien tietoturvaongelmista. Käytännössä pankkien oma agenda ja mainostus korttien helposta käytettävyydestä on ajettu väkisin turvallisuuden kustannuksella.

Etäluettava maksukortti ei edellytä kortin syöttämistä päätelaitteeseen maksutapahtuman yhteydessä. Riittää kun korttia sijoitetaan lukulaitteen lähelle. Maksutapahtuma voi olla korkeintaan 25 euron suuruinen. Maksajan ei tarvitse pääsääntöisesti myöskään syöttää pin -koodia. Tämän on katsottu nopeuttavan ja helpottavan kassalla asiointia.

Maksukortista saadaan etäluettua sekä kortin numero että kortin voimassaoloaika. Nämä tiedot riittävät ostosten tekemiseen lukemattomissa kansainvälisissä verkkokaupoissa. Nämä ovat juuri niitä tietoja joiden käytöstä pankin korttisopimusehdot edellyttävät asiakkaalta erityistä huolellisuutta. Nyt nämä tiedot voi käytännössä kuka tahansa lukea vaikka ruuhkametrossa suoraan käyttäjän käsilaukusta tai kukkarosta. Korttia ei tarvitse enää edes varastaa. On päivän selvää - paitsi pankeille - että tämä ei lisää korttien käytön turvallisuutta.

Tietoturvayhtiö Nixu teki vuosi sitten kokeiluja etäluettavien maksukorttien väärinkäytön mahdollisuuksista.

"Hankimme suomalaisen NFC:tä tukevan VISA Debit -maksukortin ja muutaman kympin maksaneen lukijan, ja luimme alle sekunnissa kortin ollessa lompakossa ja taskussa seuraavat tiedot: maksukortinnumero, voimassaoloaika, kortinhaltijan nimi. Tämän jälkeen kirjauduimme keksityllä sähköpostiosoitteella erääseen suureen, kansainväliseen verkkokauppaan ja teimme yli 25 euron ostoksen edellä olevia tietoja hyväksikäyttäen. Ostokset tilattiin eri osoitteeseen kuin mihin kortti on rekisteröity, aivan kuten oikea hyökkääjäkin tekisi. Ostos hyväksyttiin ja tuotteet toimitettiin perille muutaman päivän kuluttua." (lähde: www.nixu.com, artikkeli )

Pankkien vastaus tähän ongelmaan on ollut hyvin vähättelevä. Pankit pitävät epätodennäköisenä että laajamittaisia väärinkäytöksiä tapahtuisi. Pankit myös muistuttavat että asiakas ei vastaa väärinkäytöksistä kunhan asiakas noudattaa korttisopimusehdoissa vaadittua huolellisuutta kortin käytössä.

Tämä pankin ylimalkainen kanta täysin tulkittavissa oleviin sopimusehtoihin on juuri kuluttajan näkökulmasta äärimmäisen ongelmallista! Voiko kuluttaja olla yhtään huolellisempi kuin pitämällä kortti kukkarossa ja kukkaro taskussa? Tästä huolimatta kortin tiedot voidaan varastaa ja tietoja käyttää hyväksi. Kun näitä väärinkäytöksiä tulee varmuudella ilmenemään, niin kumman luulette olevan todistusvelvollinen siitä että korttia on säilytetty huolellisesti? Miten kuluttaja voisi sen edes todistaa?

Erään pankin edustaja kommenttia kysyttäessä ei nähnyt asiassa mitään ongelmaa. Asiakkaan täytyy vain tarkkailla tiliotettaan ja ilmoittaa heti jos tiliotteella näkyy maksuja joita hän ei ole tehnyt! Onko tästä pääteltävissä pankin edellyttävän että asiakas tutkii tiliotettaan päivittäin huomatakseen väärinkäytökset? Pääsääntöisesti ihmiset kyllä katsovat tiliotettaan korkeintaan muutaman kerran kuukaudessa. Eli nähtävästi jos asiakas ei huomaa ajoissa kortin väärinkäyttöä tiliotteeltaan, eli ei tarkkaile tiliään tarpeeksi usein, hän ei ole noudattanut pankin edellyttämää huolellisuusvelvoitetta ja siten joutuu itse kärsimään vahingon.

Kuluttajaviranomaisilta jos asiaa kysyy niin mitään selkeää kannanottoa asiaan ei saa. Kaikki ongelmat selvitetään tapauskohtaisesti. Viranomaisilta puuttuu uskallusta luoda selkeitä toimintarajoja. Viranomaiset ovat täysin isojen pankkien talutusnuorassa. Tämä taas johtaa siihen että kuluttaja on täysin pankkien armoilla.

Minkä takia kortista piti ylipäänsä tehdä etäluettava? Se että viekö kortin maksulaitteen viereen ja jättää pin-koodin syöttämättä tai työntää kortin maksulaitteen sisälle ja jättää pin-koodin syöttämättä on aivan yhtä nopeaa. Jälkimmäiseen toimintoon ei vain tarvita etälukua. Kenen etu oli murentaa korttimaksamisen tietoturva? Kuka kääri voitot tästäkin ala-arvoisesta uudistuksesta?

Etäluettava maksukortti on käytännössä sama kuin kirjoittaisi kortin numeron ja voimassaoloajan paperille ja jakaisi niitä ihmisille julkisilla paikoilla. Paitsi että jälkimmäinen on ehdottomasti korttiehtojen vastaista ja ensimmäinen on pankin käytäntö josta vastaa kuluttaja.

oikeusjakohtuus.blogspot.com

Lue myös:
Nordean suuri VISA puhallus
Nordean suuri VISA puhallus, osa II
Nordean suuri VISA puhallus, osa III
Katevarauksen kirous
Pankeilla on oikeus loukata yksityisyyttä 

Lue:
Etäluettavien maksukorttien turvallisuudesta