Myślałeś kiedyś o tym, by nie musieć już nosić portfela i telefonu na zakupy? od dzisiaj możesz – i to całkowicie za darmo. Wystarczy założyć konto. Czy obrączka do płacenia to tylko kolejna bankowa błyskotka? A może realna zmiana sposobu, w jaki będziemy płacić za kawę na lotnisku i nocleg w za granicą? To część dużego pakietu usług pod nazwą „Supermoce w podróży”, dzięki którego Bank Pekao chce być tego lata bankiem najszybciej pozyskującym nowych klientów. Sprawdźmy, jak działa i czy w ogóle jest sens ją nosić.
Bank Pekao S.A. wchodzi w sezon wakacyjny z (chyba) największą konsumencką ofensywą: 600 zł premii za otwarcie konta online, pierwsze w Polsce masowe wdrożenie obrączki płatniczej NFC (70 tys. sztuk już zamówionych) oraz kompleksowy pakiet „Supermoce w podróży”, który łączy e-winiety na sześć krajów, kartę Miles & More z milami „na bilet do Europy” i cashback 5 proc. na wszystkie wydatki turystyczne.
Bank liczy, iż z pomocą tych benefitów przyciągnie 700 tys. nowych aktywnych klientów, a przy okazji zbuduje wizerunek pierwszej instytucji finansowej, która przenosi bankowość mobilną z telefonu na… palec użytkownika.
Jak działa obrączka do płacenia? Gadżet czy przełom w codziennych płatnościach?
Obrączka do płacenia z wbudowanym NFC to coś, co dziś można dostać zupełnie za darmo. Wystarczy otworzyć nowe „Konto Przekorzystne” w Banku Pekao. Taki pierścionek to dość wartościowy prezent, jego rynkowa cena to ok. 400 zł. A może sporo ułatwić – można nim płacić bez PIN-u, a choćby bez wyjmowania z kieszeni telefona, portfela i karty płatniczej. Pierścienie oferowane przez Bank Pekao mają jedenaście rozmiarów i kilka kolorów – od klasycznej czerni i bieli, przez metaliczne srebro i złoto, aż po głęboki kobalt.
Mechanizm działania jest bardzo prosty, obrączki – tak samo jak telefony obsługujące płatności zbliżeniowe – mają wbudowany moduł NFC (Near Field Communication). Ale co to adekwatnie jest? Krótko mówiąc, to technologia bezprzewodowej komunikacji krótkiego zasięgu, która umożliwia szybką wymianę danych między urządzeniami w niewielkiej odległości. Dzięki niej, po połączeniu obrączki z naszą kartą kredytową/debetową, wystarczy zbliżyć pierścień do terminala i… gotowe!
Co najciekawsze, gadżet nie wymaga ładowania, wystarczy powiązać go z kartą płatniczą w aplikacji PeoPay (lub – jak zdradzili bankowcy – w uproszczonej procedurze przez platformę Fidesmo) i już – możemy płacić palcem. Limity transakcji bez PIN są identyczne ze zwykłą kartą płatniczą – wynoszą do 100 zł. Płacąc wyższy rachunek, trzeba podać kod PIN, a po serii pięciu transakcji terminal płatniczy poprosi o autoryzację PIN-em tej szóstej – choćby jeżeli kwota jest niewielka.
No dobrze, ale co w sytuacji, gdy naszą obrączkę zgubimy? Nic strasznego! Wtedy blokujemy z poziomu aplikacji, tak jakby dotyczyło to zwykłej karty i gotowe. Wówczas „szczęśliwy znalazca” nie pójdzie sobie na serię mikrozakupów niewymagających PINu za nasze pieniądze. A co w sytuacji, kiedy miniurządzenie się zepsuje? Mechanizm działa dokładnie tak jak przy standardowym zakupie od producenta – całość objęta jest gwarancją, a gdy gadżet samoistnie przestanie działać, zwracamy się do banku z reklamacją.
A co z klientami, którzy już mają konto w Banku Pekao? Dla obecnych klientów bank ma 55% zniżki na zakup takiej obrączki do płacenia. Wystarczy zalogować się do serwisu internetowego Pekao24 lub aplikacji PeoPay, przejść do zakładki „Oferty i Wnioski” i zaakceptować niezbędne zgody. Z kolei klienci bankowości prywatnej mogą otrzymać obrączkę całkowicie za darmo.
Bank Pekao nie zamierza jednak rozdawać gadżetu dla samej technologicznej chwały. Obrączka do płacenia ma zwrócić uwagę na nową ofertę dla urlopowiczów. I być wejściem do większego ekosystemu pod nazwą „Supermoce w podróży” – to pakiet dziesięciu benefitów, które bankowcy rozpisują na wakacyjnej mapie. Jeśli chcesz się dowiedzieć, co jeszcze i na jakich warunkach możesz dostać dzięki wakacyjnej ofercie Banku Pekao, to pisałem o tym tu.
Czytaj też: Zarobić na dezinformacji. Jak firmy nadużywają wolności gospodarczej
Obrączka do płacenia: Czy to bezpieczne?
Technicznie rzecz biorąc, obrączka płatnicza to nie „minikarta” wsunięta w ceramiczny pierścień, ale token EMV – dokładnie ten sam, który bank tworzy, gdy dodajesz plastik do Apple Pay czy Google Pay. W chipie NFC nie zapisuje się prawdziwego numeru karty (PAN-u), ale jednorazowy identyfikator generowany w systemie wirtualizacyjnym (w wypadku pierścionków Pekao jest to platforma Fidesmo).
Gdy zbliżasz obrączkę do terminala, urządzenia negocjują dynamiczny kryptogram istotny kilkadziesiąt sekund i tylko dla jednej transakcji. Kradzież takiego pakietu danych – choć teoretycznie możliwa metodą „skimming w tłumie” – nie pozwala później odtworzyć oryginalnego tokenu ani użyć go ponownie, bo kolejne płatności wymagają nowego kryptogramu.
Wbudowany chip NFC nie ma również zasilania ani łączności bezprzewodowej poza pasywnym polem terminala, więc nie można go „zhakować” przez Bluetooth czy Wi-Fi. Bardziej wyrafinowane ataki, takie jak relay (podszycie się pod pierścień przez wydłużenie zasięgu anteny) czy side-channel (analiza energii w chwili transmisji), są w czysto teoretycznie możliwe, ale w praktyce zupełnie nieopłacalne, a więc w prawdziwym życiu nierealne.
By transfer się powiódł, napastnik musiałby być w zasięgu kilku centymetrów, zsynchronizować komunikację z terminalem i deszyfrować jednorazowy kryptogram w czasie krótszym niż sekunda. Zysk z takiego wysiłku – ewentualnie kilkukrotne „pięćdziesiątki” w sklepie spożywczym – marny wynik, a ryzyko wpadki wysokie, bo transakcje offline w Polsce są ograniczone do 100 zł. Przestępcy, którzy teoretycznie mogliby mieć zdolności intelektualne i techniczne do przeprowadzenia ataku, wolą próbować innych rzeczy. Po co podejmować próbę, która niesie ze sobą mnóstwo ryzyka, a korzyści to w porywach lody w Żabce.
Czytaj też: mObywatel powie Ci, jaką dostaniesz emeryturę. Ale czy na pewno? Co może pójść nie tak
Największa obawa – czy warto korzystać z obrączki do płacenia?
Najczęściej podnoszony lęk to scenariusz, iż złodziej dyskretnie podsuwa mobilny terminal płatniczy do czyjejś obrączki. To jednak wygląda groźnie tylko na pierwszy rzut oka. Chip NFC w pierścieniu „budzi się” dopiero wtedy, gdy znajdzie się w polu o częstotliwości 13,56 MHz i mocy wystarczającej do zasilenia elektroniki. W praktyce oznacza to odległość najwyżej czterech centymetrów, zwykle bliżej dwóch.
Musiałby więc powstać fizyczny kontakt – w zatłoczonym tramwaju czy kolejce do kina – a transakcja i tak byłaby ograniczona do limitu płatności zbliżeniowej bez PIN-u (100 zł w Polsce, 50 GBP w Wielkiej Brytanii, 50 EUR w większości strefy euro). choćby gdyby złoczyńca powtórzył operację kilka razy, posłużyłby się tym samym merchant ID; systemy antyfraudowe akceptantów odnotowują kaskadę niskich następujących po sobie transakcji i prawdopodobnie zablokują urządzenie albo zainicjują chargeback. Dość powszechnie powtarza się jednak mit, iż można wcześniej zaprogramować terminal na maksymalną stawkę „offline” i wygenerować kryptogram bez kontaktu z siecią.
Odkąd Visa i Mastercard wydały wytyczne po fali wczesnych nadużyć w 2016 r., większość banków przy pierwszej płatności tokenem wymusza on-line-PIN lub cryptogram validation, czyli prośbę o stałe połączenie z serwerem rozliczeniowym. W efekcie mobilny POS z kartą SIM musi nie tylko znaleźć się przy palcu ofiary, ale też mieć zasięg sieci komórkowej, podczas gdy oprogramowanie akceptanta potwierdza tożsamość handlowca. Niesankcjonowana płatność staje się więc dla przestępcy bardzo ryzykowną operacją – pozostawia ślad GPS urządzenia, identyfikator firmy rozliczeniowej i czas transakcji co do sekundy.
Dodatkowo podczas konferencji prasowej prezes Banku Pekao S.A. Cezary Stypułkowski potwierdził, iż bank posiada algorytmy wykrywające transakcje w „podejrzanych miejscach”. Ze względów bezpieczeństwa nie można było zdradzić, na czym one dokładnie polegają, ale… wiadomo, iż są – i iż dziwne transakcje zablokują. Najrealniejszym ryzykiem pozostaje więc psychologia użytkownika. Obrączka nie wygląda jak narzędzie do płatności, więc łatwo zostawić ją w hotelowym sejfie.
To jednak kwestia wyłącznie przyzwyczajenia, o ile regularnie zaczniemy korzystać z naszego pierścionka, stanie się on dla nas równie ważny, co standardowa karta płatnicza. Dodatkowo banki zalecają włączenie powiadomień push „real-time” – sygnał o transakcji pojawia się na ekranie telefonu w kilka sekund, a to pozwala od ręki zablokować token w aplikacji. Co ważne, dezaktywacja tokenu unieważnia ją w ciągu kilkunastu sekund, a adekwatna karta pozostaje aktywna – nie ma więc konieczności wymiany plastiku jak w przypadku utraty tradycyjnego portfela.
Co sądzicie o takie formie płacenia? Przyjmie się szerzej? Dajcie znać w komentarzach pod tekstem.
Źródło zdjęcia tytułowego: Materiały prasowe, Pekao S.A.
