I dettagli dipendono da banca, tipo di carta e paese, quindi variano molto, ma il modello generico è il seguente:
- La striscia magnetica contiene, per lo più, una copia leggibile da computer delle informazioni impresse sulla carta: numero di conto, nome del titolare, data di scadenza.
- Il chip contiene una chiave segreta che viene utilizzata per "firmare" (non necessariamente una vera firma, spesso un MAC ) transazioni.
- Il chip conosce il codice PIN e rifiuta di lavorare fino a quando non viene presentato il codice PIN; si blocca anche se vengono presentati troppi codici PIN errati.
Quando un terminale di pagamento utilizza la striscia magnetica, deve parlare con la banca, stabilire un tunnel sicuro con la banca, inviare il codice PIN inserito dall'utente e verificare che l'account del proprietario abbia abbastanza soldi per questo.
D'altro canto, quando un terminale di pagamento utilizza il chip, il codice PIN viene inviato solo al chip, e non vi è quasi alcun bisogno di parlare con la banca. L'intera transazione può essere condotta offline. Ovviamente, per grandi quantità, è comunque una buona idea parlare con la banca per sapere se sul conto dell'acquirente ci sono molti soldi, ma piccole transazioni possono essere fatte in modo efficiente senza rete.
Quindi, la banda magnetica e il chip sono usati in due modi diversi, e avere entrambi non significa che la sicurezza sia abbassata alla sicurezza del più debole dei due. Dal punto di vista della banca, i chip sono migliori, perché sono più efficienti (non è necessario gestire una chiamata di rete) e più difficili da clonare (le statistiche mostrano un tasso di frode diviso circa 10). Questo è spesso tradotto in vantaggi finanziari concessi ai commercianti che passano ai terminali sensibili ai chip.
Ci possono essere varianti in tutto quanto sopra. Ad esempio, la scheda include nella banda magnetica una versione crittografata del codice PIN, ma non verrà verificata nel terminale di pagamento. Invece, il terminale dovrà parlare con un server bunkerato regionale che conosce la chiave di decodifica e può effettuare la verifica. Per alcuni altri tipi di carte, è abbastanza chiaro che la banda magnetica non sa nulla del codice PIN, ad es. le carte American Express senza chip (di alcuni anni fa) in cui è possibile modificare il codice PIN telefonando alla banca.
In ogni caso, tutte le funzionalità di sicurezza di una carta di debito o di credito non sono destinate a proteggere tu . Proteggono la banca . Dal punto di vista della banca, tu sei il nemico (indipendentemente da ciò che rivendicano nei loro annunci).