2016.02.01

Czy mobilne płatności zbliżeniowe HCE są bezpieczne? Tak! Wszystko co musisz wiedzieć o mobilnych płatnościach zbliżeniowych HCE

Płatności zbliżeniowe z wykorzystaniem telefonu szturmem zdobywają polski rynek. Usługę tę udostępniają lub za chwilę udostępnią wszystkie największe banki w Polsce. Jest to rozwiązanie wygodne dla klienta, bo telefon zawsze nosimy przy sobie, ale również bezpieczne. Żeby dokonać mobilnej płatności musimy znać nie tylko PIN do telefonu, ale także hasło do aplikacji mobilnej.

Płatności zbliżeniowe telefonem nie są w Polsce nowością. Już w 2010 roku PKO Bank Polski wspólnie z siecią Era oraz Bank Zachodni WBK z Orange przeprowadziły testy usługi płatności mobilnych z wykorzystaniem NFC. Pierwsze komercyjne wdrożenia miały miejsce dwa lata później. Płatności zbliżeniowe w modelu simcentrycznym udostępniły wówczas T-Mobile i Orange. Określenie „model simcentryczny” bierze się stąd, że karta do płatności zbliżeniowych wgrywana jest na kartę SIM znajdującą się w telefonie komórkowym klienta. Do dziś z tej usługi skorzystało kilkadziesiąt tysięcy klientów, a mobilne karty NFC wydają swoim klientom m.in. mBank, Alior Bank, eurobank, Bank BPH, Getin Bank i Raiffeisen Polbank.

Mobilne płatności zbliżeniowe mają już 6 lat

W 2014 roku organizacje Visa i MasterCard udostępniły nowocześniejsze rozwiązanie, które określa się skrótem HCE (Host Card Emulation). W odróżnieniu od modelu simcentrycznego, w którym karta do płatności zbliżeniowych instalowana była na karcie SIM, w modelu HCE karta znajduje się w tzw. chmurze. Dzięki temu klienci banków oferujących usługę HCE nie muszą podpisywać oddzielnej umowy z operatorem telekomunikacyjnym. To rozwiązaniem w pełni bezpieczne, spełniające surowe standardy obu organizacji płatniczych. Usługi płatnicze oparte o tokenizację i chmurę stają się powoli światowym standardem. Oferują je tacy giganci, jak Apple, Google czy Samsung.

W Polsce pierwszym bankiem, który udostępnił płatności zbliżeniowe w modelu HCE był Bank Pekao (w 2014 roku). Chwilę później dołączyły do niego Bank Zachodni WBK i Getin Bank. Najświeższym wdrożeniem jest rozwiązanie zastosowane przez PKO Bank Polski. Użytkownicy aplikacji IKO mogą powiązać swoją kartę debetową lub kredytową z jej mobilnym odpowiednikiem w telefonie i płacić za zakupy telefonem. Prace nad wdrożeniem mobilnych płatności zbliżeniowych HCE potwierdziło już kilka kolejnych banków, m.in. eurobank, mBank i Bank Millennium. Eksperci spodziewają się, że w niedalekiej przyszłości usługa znajdzie się w ofercie większości banków w Polsce.

Jak płacić telefonem z HCE?

Karty z opcją zbliżeniową stanowią dziś już zdecydowaną większość spośród wszystkich kart wydanych przez banki. Typu płatności akceptuje dziś 80 proc. spośród 320 tys. terminali w Polsce (i setki tysięcy na świecie). Sama płatność telefonem przebiega w podobny sposób jak zwykłą kartą – wystarczy przyłożyć aparat do terminala POS. Jednak żeby zapłacić zbliżeniowo telefonem należy posiadać telefon z systemem Android w wersji od 4.4 wzwyż, który obsługuje moduł NFC. W niedalekiej przyszłości rozwiązanie będzie też dostępne dla posiadaczy telefonów z systemem Windows 10.

W przypadku płatności mobilnych – podobnie jak w przypadku zwykłych kart - PIN nie jest wymagany jeśli wykonujemy transakcję na kwotę do 50 zł. Powyżej tej kwoty zostaniemy poproszeni o kod. W aplikacji IKO zastosowano jednak dodatkowe ułatwienie dla klienta. Po zalogowaniu użytkownik może w ciągu 15 sekund dokonać płatności powyżej kwoty 50 zł bez podawania PIN-u. Wynika to z faktu, że już samo wejście do aplikacji zabezpieczone jest hasłem. Jeśli jednak użytkownik nie wyrobi się w czasie 15 sekund, będzie musiał ponownie podać kod PIN do aplikacji.

Płatności HCE są bezpieczne

Płatności zbliżeniowe telefonem uznawane są za bezpieczne z kilku względów. Przede wszystkim większość osób blokuje hasłem swój telefon, bo przechowuje na nim także inne cenne dane. Po drugie, żeby dokonać płatności zbliżeniowej na większą kwotę, trzeba zalogować się do aplikacji dostarczonej przez bank. Następnie podać kod PIN do karty HCE. Gdyby telefon wpadł w niepowołane ręce, szanse na dokonanie płatności telefonem są minimalne. Złodziej musiałby bowiem znać sposób na odblokowanie telefonu, hasło do aplikacji i kod PIN do karty. Dodatkowo zgubiony telefon można szybko zablokować zdalnie, z poziomu komputera czy tabletu. Dla porównania, gdy niepowołana osoba dostanie w swoje ręce portfel – od razu może wydać całą gotówkę.

Użytkownik aplikacji IKO może też samodzielnie definiować limity transakcji kartami HCE. Wszystkie płatności monitorowane są na bieżąco przez bank i odpowiednio zabezpieczone. Aktywacja aplikacji IKO, a co za tym idzie i płatności HCE objęta jest dodatkowymi zabezpieczeniami przy aktywacji. Operacji tej nie da się wykonać na przykład na zrootowanym telefonie, czyli aparacie w którym zostały dokonane  zmiany  systemie operacyjnym dostarczonym przez producenta. Warto tutaj podkreślić, że jest to wymóg organizacji płatniczej – właśnie ze względu na chęć zachowania najwyższych standardów bezpieczeństwa.

Warto też pamiętać, że płatności zbliżeniowe – także te w telefonie – objęte są bardziej restrykcyjnymi warunkami ochrony, niż pozostałe typy transakcji. W przypadku nieautoryzowanych transakcji zbliżeniowych dokonanych przed zastrzeżeniem karty (także karty HCE), klient odpowiada za straty tylko do równowartości 50 euro. Jest to kwota odpowiadająca mniej więcej wysokości 200 zł. Powyżej tej kwoty odpowiedzialność za wykonane przez złodzieja transakcje spada na bank. W przypadku tradycyjnych transakcji z użyciem karty w terminalu bank przejmuje odpowiedzialność dopiero za transakcje powyżej 150 euro, czyli około 600 zł. Jest to dodatkowy argument przemawiający za bezpieczeństwem płatności zbliżeniowych.

Michał Macierzyński
PKO Bank Polski