Időről időre megjelennek a sajtóban azok a hírek, amelyek arról szólnak, hogy magyar bankkártyák adataival éltek vissza külföldön. Eközben rendre azt halljuk, hogy a magyar bankkártyapiac az egyik legbiztonságosabb. Akkor mi a valóság?
A Magyar Nemzeti Bank adatai szerint az elmúlt év első félévében 1252 esetben történt lopott vagy lemásolt kártyákkal visszaélés. Ez ugyan az elmúlt időszak legmagasabb adata – mintegy kilencszázalékos növekedést jelent 2014 azonos időszakához képest, ám látni kell: a visszaélések egyre kisebb kárt okoznak, a legfrissebb adatban szereplő kártyamásolásos visszaélésben összesen 32,7 millió forint kár keletkezett, ami mintegy hét százalékkal alacsonyabb az egy évvel korábbinál. Összehasonlításként: 2010 első félévében még 63,7 millió forint volt a bankkártyák ellopásából vagy lemásolásából eredő kár. Még jobban érthető a károk „elbagatellizálása” akkor, ha tudjuk, hogy egyetlen negyedév alatt, 2015. július és szeptember között a hazai bankkártyákkal 103,3 millió kártyás vásárlást és 26,5 millió készpénzfelvételt hajtottak végre.
A tranzakciószám egyébkén elképesztő mértékben növekszik, az említett időszakban a kártyás vásárlások száma 20,3 százalékkal nőtt, míg az atm-es készpénzfelvételek száma is újra kismértékű, 300 ezres növekedést mutat. Korábban az ingyenes készpénzfelvétel bevezetésének köszönhetően csökkent az atm-látogatások száma, hiszen az emberek úgy próbálták elkerülni a tranzakciós illetéket (és az egyéb költségeket), hogy az ingyenességet kihasználva csak maximum havi két alkalommal vettek ki pénzt az atm-ekből. Az egy atm-es tranzakcióra jutó összeg ugyanakkor tovább nő: az említett három hónapban 1702 milliárd forintot vettek ki honfitársaink a pénzkiadó automatákból, ami 6,6 százalékos növekedést jelent, ám ezzel együtt az egy tranzakcióra jutó összeg 64200 forint – ez még mindig csak közelíti a 75 ezer forintos értéket, ami ahhoz kellene, hogy teljes mértékben ki tudjuk használni a havi kétszeri ingyenes készpénzfelvétel lehetőségét.
Sok szó esik az érintőkártyákkal (contactless) való visszaélésekről is. Ezzel kapcsolatban tudni kell: a kártya adatainak rádiójellel történő szkenneléséhez minimum bőröndnyi eszköz kell, amelyek ráadásul nem is olcsók. Miután pin-kód nélkül – a fesztiválokat kivéve – maximum ötezer forintig fizethetünk, a lopáshoz szükséges infrastruktúra beszerzési ára nem teszi rentábilissá a beruházást. (A kártyabirtokos ráadásul ezer forint felett a bankok többségénél sms-t kap.) Magyar sajátosság ugyanakkor, hogy a bankkártya három érintőkártyás fizetés után nem kér pin-kódos ellenőrzést – a bankkártya-társasági ajánlásokban még ez szerepelt, emiatt viszont az ellopott érintőkártyáról jó esetben csak az sms-kontroll révén tudunk gyorsan tudomást szerezni.
De vissza a csalásokhoz. Az elmúlt évekhez képest alaposan visszaeső károk, illetve az a tény, hogy Magyarország továbbra is igen jó statisztikát mutat a kártyás visszaélések kapcsán a lopott/szkennelt kártyák esetében, két tényre vezethető vissza. Az egyik az, hogy a magyar kártyapiac az elfogadói oldalon immár teljesen chipesített – az atm-ek és a kereskedelmi egységekben lévő pos-terminálok kivétel nélkül képesek a chipeket olvasni. Az utolsó megugró atm-es csalási kört Magyarországon akkor regisztrálták, amikor az atm-ek jó része még nem volt képes a chipkártyákat olvasni. Ekkor a csalók könnyen tudtak olyan szkennelt kártyákkal pénzt felvenni itthon, amelyeknek csak a mágnescsíkját másolták le – ezt a legkönnyebb hamisítani. Hiába volt az eredetileg eltulajdonított mágnescsíkon az a „figyelmeztetés” az atm-nek, hogy keresse meg a chipet, mert az eredeti kártyán az is van, miután az automata ezt nem tudta „ellenőrizni”, így kiadta a kért összeget. A károk nagyságrendjéről annyit: 2008–2009-ben volt olyan bank, ahol egy hónap alatt az előző év teljes – minden visszaélési módját tartalmazó – kára beütött.
A másik komoly hazai védelmi vonal az sms-kontroll. Még mindig kevesen tudják, hogy ez a megoldás magyar találmány. Az a tény, hogy fizetésünkről pillanatok alatt üzenetet kapunk, jelentősen meggyorsítja a visszaélések felfedezését is – mindenki azonnal kapcsol, ha azt látja, hogy miközben ő a körúton sétál, kártyájával az Egyesült Államokban vásároltak…
És hogy miért éppen az Egyesült Államok? Nos, meglehetősen furcsának hathat, de a chip-migrációban jelenleg a modern pénzügyek és így a bankkártyahasználat csúcsállama az egyik legelmaradottabb hely a fejlett világban. Miközben Európa egyre nagyobb részén már felesleges a bankkártyákon meglévő mágnescsík, mert arra egyszerűen nem szolgálnak ki az atm-ek és a pos-terminálok, az USA-ban még néhány éve is nyomasztó többségben voltak azok a plasztiklapok, amelyeken nem volt chip. Az Egyesült Államokban a bankkártyák és az elfogadóhelyek chipesítésében épp az elkövetkező hónapok hozhatnak komoly áttörést, köszönhetően annak, hogy már ott is bevezették a felelősségátruházást (liability shift).
Ez nagyjából annyit tesz, hogy a kártyás visszaélésért – függetlenül attól, hogy kinek a hibájából következik be – mindenképpen az felel, akinél hiányzik a chipesítés. Azaz az a bank is retteghet, amelyik még mindig csak mágnescsíkkal ellátott kártyát bocsát ki, de az is, amelyik olyan atm-et, pos-t üzemeltet, amely képtelen a chipek elolvasására. Miután Magyarországon kívül a pos-terminálok általában a kereskedők birtokában vannak, ez a fenyegetettség őket is arra készteti, hogy gyorsan modernizálják az automatákat. (A félreértések elkerülés végett: ha bebizonyosodik, hogy csalás történt, a kárt viselő bank/kereskedő természetesen bíróság előtt követelheti kára megtérítését a vétkesektől – nem érdemes tehát erre spekulálva az USA-ba utazni. Már csak azért sem, mert a jövő évtől Magyarországon is bevezetik az úgynevezett geo-blockingot, azaz a bankkártyánk használhatóságát úgy korlátozzák, hogy Európán kívüli területeken való használat előtt jeleznünk kell a banknak, hogy ilyen típusú tranzakciót akarunk indítani.)
Ami a magyarországi atm-es adatszerzéseket illeti: időről időre felkerülnek a magyar berendezésekre a kártyaszkennelő megoldások. Ezeket az atm-ek típusára gyártják a csalók, és egyre kifinomultabb megoldásokkal találkozunk. Az adatszkennelő működtetéséhez minimális energia elég, az akkumulátorok miniatürizáltságának világában egy-egy ilyen adatlopó sajnos nagyon sokáig működőképes.
Ha el akarjuk kerülni a kellemetlenségeket a következő megelőző lépéseket tehetjük.
1. Kerüljük az éjszakai és a hétvégi pénzfelvételt – a klónozókat általában banki zárás után teszik fel a csalók.
2. Ha az atm-hez külön azonosítással (mágnescsíklehúzással) rendelkező ajtón keresztül lehet bejutni, ne azt a kártyát használjuk, amivel pénzt akarunk felvenni.
3. Előzetesen győződjünk meg arról, hogy az atm kártyabefogadó nyílása ép-e. Kicsit mozgathatjuk, illetve nézzük meg, hogy a világítása, villogása olyan-e, mint korábban (ha szkennelő van rajta, akkor annak a pereme aligha tudja átvenni az automata jelét).
4. Ellenőrizzük a billentyűzetet is: nem emelkedik-e ki a lapja túlságosan az atm-ből (rátehettek egy klónt az eredetire).
5. Minden esetben takarjuk el a billentyűzetet a pin-kód megadásakor. Az atm oldalán, falán, de esetleg épp a klaviatúra felett milliméterekkel ott lehet a kamera, amely a pin-t szerzi meg a bankkártyaadatokhoz. Ne elégedjünk meg az automata saját takaró berendezésével (műanyag, gumis árnyékolás), mindenképpen a saját kezünket használjuk!
6. Ritkább és amatőrebb megoldás a csalásokra a pénzkiadónyílás támadása. Ilyenkor a pénzkiadó nyílását takarják el egy speciális eszközzel, a kiadott pénzhez nem férünk hozzá. Az atm-ek jó része véd ettől a visszaéléstől, hiszen a pénzt csak félig adja ki: ha záros időn belül – például húsz másodpercig – nem húzzuk ki az összeget a nyílásból, visszahúzza. De ennek ellenére: ha ilyet látunk, semmiképpen se hagyjuk el a helyszínt – a csalók vélhetően arra várnak, hogy a magára maradt automatához lépve kipattintsák a takarót és elvigyék a pénzt.
7. Mindenképp használjunk sms-kontrollt – érdemes ezer forint feletti fizetésekre kérni a jelzést – ez az általános banki gyakorlat.
(kiemelés vége)
Az elmúlt időszakban egyre kevesebb alkalommal próbálnak meg a bűnözők a készpénzkiadók feltörésével pénzhez jutni: az MNB statisztikái szerint az atm-ek elleni támadások száma 2015 első félévében mindössze 21 volt, szemben az egy évvel korábbi 69 támadással (ez utóbbi ugyanakkor abszolút csúcsnak számított a hazai bankkártya-történelemben), tavaly áprilistól június végéig mindössze négy támadás történt. Nem tagadható le ugyanakkor az sem: annak ellenére, hogy az atm-eket ma már kifinomult védelmi megoldásokkal szerelik – ütődésre, billenésre általános, hogy a tárolókban lévő pénzt megfesti a készülék –, az elmúlt év első hónapjaiban regisztrálták az elmúlt öt év legnagyobb kárösszegét: mintegy húszmillió forint értékű kár keletkezett. (Ennél magasabb kárérték utoljára 2010 első negyedévében volt.)
(Cikkünk nyomtatásban 2016 februárjában jelent meg a Biztonságpiac Évkönyvben. A -szerk- megj.)
