Уже в августе: расплачиваясь кредитной картой, израильтяне должны будут вводить ПИН-код

Израиль переходит на стандарт EMV: начиная с августа 2017 года, расплачиваясь кредитной картой, израильтяне должны будут вводить ПИН-код в специальный платежный терминал. Черновик соответствующей директивы, составленной главным банковским инспектором Хедвой Бар, был опубликован в понедельник, 5 июня.

На самом деле с 2017 года все израильские компании, приобретающие новые платежные POS-терминалы (от английского Point Of Sale - точка продажи) были обязаны удостовериться, что устройство поддерживает стандарты EMV, то есть умеют работать с кредитными картами, оснащенными микрочипом.

Платежный POS-терминал. Фото: shutterstock

Международный стандарт для операций по банковским картам с чипом EMV получил свое название по первым буквам трех международных кредитных компаний Europay, MasterCard и Visa, разработавших его, чтобы повысить уровень безопасности финансовых операций.

Основное отличие для пользователя карты стандарта EMV - это требование ввода четырехзначного ПИН-кода при проведении любого платежа через терминал (например, в магазинах, ресторанах) точно так же, как при съеме денег из банкомата. Платежный терминал при этом считывает данные с чипа, а не с магнитной ленты на обратной стороне карточки.

При этом данное требование не является обязательным: при желании банк-эмитент (банк, выпустивший платежную карту) может настроить приоритеты безопасности так, что в первую очередь система будет запрашивать подпись клиента, а не ПИН-код.

Отметим, что EMV-карты уже несколько лет успешно используются в большинстве развитых стран. В Израиле внедрение этого стандарта откладывалось множество раз.

Согласно директиве, составленной Хедвой Бар, небольшие компании с годовым оборотом, не превышающим 60 тысяч шекелей, могут отложить приобретение терминалов, поддерживающих EMV до конца 2018 года. Это относится к компаниям, сфера деятельности которых предусматривает использование специфических терминалов, которые пока не поддерживают новые стандарты.

Важно подчеркнуть, что пока директива касается только приобретения новых терминалов. На данном этапе компании не обязаны производить замену уже установленных. Так что на первом этапе количество компаний, требующих при оплате ПИН-код, будет довольно небольшим. Однако чтобы стимулировать их к переходу на стандарт EMV, ответственность за мошеннические транзакции, в случае если оплата была произведена EMV-картой, а у компании не было терминала, поддерживающего работу с чипом, будет возложена не на банк, выдавший карту, и не на ее владельца, а на компанию, которая провела платеж.

Преимущества EMV-карт

 EMV-стандарт существенно повышает уровень безопасности транзакций за счет ухода от визуального контроля (проверка продавцом подписи, сверка имени с удостоверением личности).Теоретически расплатиться карточкой может только тот, кто знает секретный код.

 Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ, идентифицирующий карту в банковских операциях, записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств (которые мошенники иногда вставляют в банкоматы).

 Клонировав магнитную полосу карты, мошенники все равно не смогут воспользоваться ею в POS-терминалах, поддерживающих работу с чипом, так как данные магнитной полосы карты содержат информацию о необходимости использовать чип. Терминал прочтет эту информацию и потребует использовать чип EMV, который невозможно скопировать таким образом.

 Также чип, в отличие от магнитной полосы, намного менее подвержен воздействию магнитных полей.

Уязвимости и недостатки EMV-карт

 Фундаментальной уязвимостью EMV является необходимость вводить ПИН-код при каждой покупке, что потенциально предоставляет многочисленные возможности для его перехвата. Знание ПИН-кода позволяет снять наличные с украденной или потерянной карты. При этом бремя доказательства того, что карта украдена или потеряна, ложится на держателя карты.

 Перехватив ПИН-код и клонировав магнитную полосу карты, мошенники смогут произвести оплату копией карты в POS-терминалах, не поддерживающих работу с чипом.

 При использовании карт стандарта EMV ответственность ложится на держателя карты, если он не сможет доказать, что не присутствовал при совершении транзакции, не давал разрешение на транзакцию и не раскрыл ПИН-код третьим лицам. За мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV, ответственность несет осуществившая транзакцию компания либо банк. 

 EMV не защищает от мошеннического использования карты в интернете (если злоумышленнику стал известен номер карты, срок ее действия и секретный CVC2/CVV2 код). Но эта уязвимость присуща всем видам кредитных карт.