Nem szükséges a biztonsági kód

Sutba lehet dobni az online bankkártyás fizetésekről szerzett eddigi ismereteket. Korábban azt tanulhatta meg mindenki, hogy internetes fizetéskor a kötelező bankkártyaadatok (bankkártya száma, lejárati idő, kártyatulajdonos neve) mellett a tranzakció ellenőrzéséhez a kártyát azonosító szám, az úgynevezett CVC-kód megadására is szükség van. Ez a kód a MasterCard és a Visa kártyák esetében háromjegyű, és jellemzően a plasztik hátoldalán, az aláírópanel mellett van, míg az Amex kártyákon a kártya előlapján látjuk a négyjegyű azonosítót.

Akik azonban az elmúlt hónapokban bizonyos online áruházakban – például a Booking.com oldalon – vettek igénybe szolgáltatást (foglaltak szállást), azzal szembesülhettek, hogy a fizetési tranzakció anélkül lezajlott, hogy megadták volna a CVC-kódot. A szállásfoglaló oldal álláspontja szerint, miután az ügyfél létrehozza a foglalást, s beleegyezik abba, hogy a szállás díjával a szolgáltató megterhelje a számláját (bankkártyáját), az ellenérték levonható, s ezen megerősítés alapján jön létre a terhelés. Ők tehát a megrendeléssel bizonyítani tudják, hogy az ügyfél megbízást adott a terhelésre.

Megkeresésünkre a Magyar Nemzeti Banknál is jelezték: a CVC-kódok alkalmazása, azok elkérése nem kötelező az online kereskedők számára, mindössze egy újabb biztonsági elemet jelent. A vonatkozó jogszabályok nem fogalmaznak meg követelményeket, azaz nincs meghatározva, hogy mely esetekben kell alkalmazni a kódot, ezt a jegybank szerint a kártyatársasági előírások, valamint a kereskedők és a kártyaelfogadási szolgáltatást nyújtó pénzforgalmi szolgáltatók közötti szerződések szabályozzák.

A fentiek nyomán megkerestük a MasterCardot is, ahol arról tájékoztatták a Világgazdaságot, hogy a kártyacég előírása alapján bármely kereskedő kérheti, de nem kötelező kérnie a CVC-kódot a kártyabirtokostól a fizetések azonosítására. A MasterCard egyedül az online szerencsejáték (non face-to-face gambling) esetén írja elő a biztonsági elem kötelező használatát. Fontos hangsúlyozni, hogy pusztán a CVC-kód a kártya eltulajdonítása esetén semmilyen védelmet nem jelent, vagyis egy meglehetősen elmaradott biztonsági elem megkerüléséről van szó az említett példákban.

A kártyatársasági és a jegybanki álláspont alapján a CVC-kód bekérése nemcsak a kártyabirtokosnak, hanem a kereskedőnek is érdeke, hiszen ügyfélpanasz esetén nehezebben védhető a kereskedő álláspontja, ha csak publikus ügyféladatokat kér be. Az MNB jelezte: az egyszeri fizetésnél kapott CVC-kódokat nem tárolhatják a kereskedők, ezért egy adatbázis feltörése esetén hiába ismerik meg a csalók a kártyaszámot, azt továbbra sem fogják tudni használni.

A név is problémás

Azt már korábban tudni lehetett, hogy jó néhány internetes áruház a kártyabirtokos plasztikra írt neve alapján nem azonosítja a kártyabirtokost. Ennek prózai oka az, hogy a különböző nyelvek eltérő írásjelei – például a magyar ékezetes nevek – miatt lényegében lehetetlen olyan rendszert találni, amely megfelelő azonosítást tudna nyújtani.