Firma anziché PIN, carta Visa

I protocolli di pagamento hanno molte varianti. Tuttavia, si riducono principalmente ai tre seguenti:

1. Il numero della carta è solo un riferimento, da stampare su carta. Il proprietario firma con una penna sulla carta. La carta può essere stampata con diverse tecnologie, alcune delle quali piuttosto primitive (le carte di credito sono impresse in rilievo in modo che il loro numero possa essere copiato su carta in modo efficiente con un dispositivo puramente meccanico).

2. Il numero della carta è ottenuto da un terminale di pagamento (ad esempio con una strisciata della striscia magnetica); il terminale di pagamento quindi parla alla banca. Il codice PIN viene utilizzato per autenticare l'utente (viene inviato alla banca per la convalida).

3. La carta è una carta smart ; il chip contiene un valore segreto che viene utilizzato per autenticare la transazione (con un MAC o un firma digitale ). Il PIN viene inviato alla carta e viene utilizzato per convincere la carta che il suo vero proprietario sta effettivamente permettendo l'operazione.

In ogni caso, il punto non è esattamente quello di prevenire le frodi, ma di ridurle a livelli tollerabili. Il commerciante non si preoccupa veramente di un truffatore che corre con i soldi, a patto che venga rimborsato dalla banca. La banca vede il quadro generale e non si sente investito della sacra missione di catturare tutti i ladri; la banca vuole che il costo totale della frode sia il più basso possibile, e non è la stessa cosa.

Normalmente le banche lo preferiscono quando viene utilizzato il codice PIN, perché riduce il livello di frode (fino a un fattore dieci, come ho sentito). Tuttavia, questo richiede un terminale abilitato per il PIN; con la soluzione 2, deve essere mantenuta una connessione di rete con la banca; con la soluzione 3, la carta deve avere un chip (lo sviluppo delle smart card è stato ritardato a lungo nelle Americhe perché le banche hanno aspettato la scadenza del brevetto francese sulle smart card del 1986). I commercianti solitamente non cooperano per le modifiche (devono pagare per i nuovi terminali) e l'implementazione delle carte non è veloce (poiché ogni carta è valida per diversi anni), quindi il metodo di pagamento "di primo tipo" (con una firma basata su penna) è ancora possibile in molti negozi. Dovrebbe gradualmente scomparire, perché consente di frodi più facili, il che rende le banche scomode.

In definitiva, si tratta di una questione di forza relativa tra le banche (che vogliono applicare i sistemi che garantiranno il minor numero possibile di frodi totali) e i commercianti (che desiderano ottenere il rimborso automatico al minor costo possibile). Il proprietario della carta non ha molto da dire ... tuttavia, legalmente parlando, il proprietario della carta è "protetto" purché segua le regole ufficiali della sua banca. Finché la banca non gli vieta di pagare con una firma, la banca deve rimborsare l'utente se si è verificata una frode sul suo account.

(Se gli impiegati di banca semplificheranno l'operazione è un'altra domanda.)

Quello che penso che troverai è che se ti trovi in un paese in cui è installato il PIN + Chip, se un commerciante prende una firma (solitamente perché il suo sistema Chip + PIN è inattivo), la responsabilità della frode si sposta dal cliente al commerciante.

Quindi, se hai transazioni fraudolente sulla tua carta in cui il commerciante non ha il PIN puoi semplicemente contestarle e l'onere sarà sul commerciante per dimostrare che sono legittime, piuttosto che su di te per dimostrare che sono " no.

Probabilmente dipende da quale rete viene utilizzata per elaborare la carta. Se la rete è simile a EFTPOS, un PIN è tipico. Tuttavia, se la rete è simile al credito, una firma è tipica (almeno, prima che esistesse EMV).

Molte carte hanno una doppia marca e il modo in cui vengono elaborate può dipendere dalla configurazione del terminale del commerciante. Non è probabile che si tratti di backup, sebbene sia plausibilmente possibile che un PIN possa essere richiesto solo se viene eseguita l'autorizzazione online.

Una foto di una carta non è spesso molto utile, perché di solito un codice CVV (diverso dal codice CVV2 sul retro) è memorizzato nel magstripe e non è facilmente derivato senza una chiave DES a 128 bit e conoscenza del codice di servizio della carta. Solo avere una foto della carta, anche su entrambi i lati, di solito ti consente solo di usare la carta per le transazioni con carta non presente.

In realtà, le caratteristiche specifiche delle funzioni di sicurezza su una determinata carta sono le migliori dell'emittente della carta.

La firma di una transazione con carta di credito è ancora abbastanza comune nei paesi in cui utilizzano la striscia magnetica sul lato anziché il chip della smart card incorporato (che utilizza un codice PIN). Si noti che questa è una scelta della compagnia della carta di credito. Una spilla è infatti più sicura, ma per ragioni di usabilità non applicata ovunque (in Europa è abbastanza comune in questi giorni).

La somma massima è la stessa per la tua carta pin come per lo scorrimento magnetico. Se hanno effettivamente il tuo codice CCV, possono semplicemente usare la tua carta (anche se so che molti gateway di pagamento controllano se il chip e il pin sono presenti per quella carta e richiederanno di firmare la transazione digitalmente).

Se trovano un gateway che non esegue questo controllo, allora sì, possono prelevare denaro con la carta (fino al raggiungimento del limite). Tuttavia, la maggior parte delle società di carte di credito rimborserà l'utente per i danni subiti se vengono scoperte frodi (transazioni fraudolente) con la carta.