Tendencja wprowadzania na polski rynek kart płatniczych wyposażonych w mikroprocesor związana jest z większym bezpieczeństwem używania kart mikroprocesorowych, z wymogami międzynarodowych organizacji kart płatniczych, jak również z wdrażaniem programu Jednolitego Obszaru Płatności w Euro (SEPA).

Zwiększenie bezpieczeństwa

Zastosowanie mikroprocesora jako nośnika informacji na karcie pozwala na wprowadzenie lepszych zabezpieczeń danych umieszczanych na karcie, zwiększenie bezpieczeństwa przeprowadzania samej transakcji, jak również poprzez zmianę sposobu dokonywania transakcji, wprowadzenie nowych funkcjonalności płatniczych.

Mikroprocesor jako urządzenie posiadające możliwość przechowywania znacząco większej ilości informacji niż pasek magnetyczny może być również stosowany do przechowywania innego rodzaju informacji zarówno pomocnych w dokonywaniu transakcji (podpis elektroniczny)¸ jak również innego rodzaju danych użytecznych w życiu obywatela (dokument identyfikacyjny). Można zaryzykować stwierdzenie, iż wachlarz możliwości i zastosowań mikroprocesora umieszczonego na karcie jest ograniczony jedynie przez wyobraźnię i potrzeby biznesowe.

Pierwszą z podkreślanych cech karty mikroprocesorowej jest zapewniany przez nią poziom bezpieczeństwa transakcji. Zastosowanie w budowie karty układu elektronicznego pozwala na zastosowanie nowoczesnych rozwiązań podnoszących poziom bezpieczeństwa danych zapisanych na karcie, a w konsekwencji na bezpieczne dokonywanie transakcji. Zabezpieczenie to wyklucza możliwość, występującego czasami w przypadku kart z paskiem magnetycznym, skopiowania danych.

Bez obawy kopiowania danych

W przypadku kart wyposażonych jednocześnie w pasek magnetyczny i mikroprocesor istnieje wprawdzie obawa, iż mimo wbudowanego mikroprocesora może dojść do kopiowania danych z paska magnetycznego i ich wykorzystania do dokonania transakcji przestępczych. Ryzyko wystąpienia tego zjawiska jest jednak minimalizowane przez fakt, iż w zapisie na pasku magnetycznym takiej karty umieszczone są informacje o tym, iż karta jest wyposażona w mikroprocesor. Powoduje to, że w przypadku próby dokonania taką kartą transakcji w punktach wyposażonych w urządzenia umożliwiające dokonywanie transakcji kartami mikroprocesorowymi, urządzenie akceptujące (terminal POS, bankomat) wymusi dokonanie transakcji przy wykorzystaniu mikroprocesora. Jeżeli tego mikroprocesora nie będzie, gdyż karta sfałszowana będzie wyposażona tylko w pasek magnetyczny, to do transakcji nie dojdzie. Ta procedura zapobiega wykorzystaniu do transakcji kart sfałszowanych z wykorzystaniem danych pochodzących z kart hybrydowych, czyli wyposażonych w mikroprocesor i pasek magnetyczny.

Drugim z elementów zabezpieczających transakcje dokonywane przy użyciu kart z mikroprocesorem jest potwierdzanie transakcji przez posiadacza poprzez podanie kodu PIN.

Nowe funkcjonalności

Oprócz kwestii związanej z bezpieczeństwem karty, zastosowanie mikroprocesora pozwala na wprowadzenie nowych rodzajów funkcjonalności karty. Funkcjonalności te można podzielić na dwa rodzaje - płatnicze i niepłatnicze.

W ramach funkcjonalności płatniczych możemy wskazać na możliwość dokonywania przez posiadacza karty tzw. transakcji preautoryzowanych. Dokonywanie tego typu transakcji jest możliwe w sytuacji, gdy wydawca oferuje posiadaczowi tego typu ofertę produktową. Transakcje te polegają na określeniu przez posiadacza kwoty transakcji (i zapisaniu tej informacji w pamięci mikroprocesora), które mogą być dokonane bez konieczności dokonywania autoryzacji ze strony wydawcy. Do czasu wyczerpania tego limitu (dane o dokonywanych transakcjach również są zapisywane na mikroprocesorze) autoryzacja nie jest przeprowadzana. Jako szczególny rodzaj transakcji preautoryzowanych można uznać transakcje bezstykowe. Mechanizm samego ustalania limitu takich transakcji jest nieco odmienny.

W przypadku transakcji bezstykowych (contactless), limit zarówno kwotowy, jak i ilościowy transakcji nie jest uzależniony od woli posiadacza karty. Jest on zapisany jako wartość stała w pamięci mikroprocesora. Posiadacz może dokonywać transakcji w ramach limitu kwotowego i ilościowego, po wyczerpaniu tego limitu w celu wyzerowania limitów konieczne jest dokonanie transakcji autoryzowanej.

Dokonanie transakcji bezstykowych jest ponadto uzależnione od tego, czy karta mikroprocesorowa wyposażona jest w odpowiednią technologię zapewniającą komunikację z terminalem, jak i od tego czy terminal, w którym posiadacz chce dokonać transakcji, jest przystosowany do przeprowadzania tego typu transakcji. Transakcja bezstykowa, od strony praktycznej jest podobna do transakcji, której można dokonywać za pomocą pieniądza elektronicznego.

Ważne!

Transakcja bezstykowa dokonywana jest z pominięciem procesu autoryzacji, jak również nie jest wymagane jej potwierdzenie przez posiadacza przez podanie kodu PIN

Transakcja bezstykowa dokonywana jest z pominięciem procesu autoryzacji, jak również nie jest wymagane jej potwierdzenie przez posiadacza przez podanie kodu PIN. Wystarczające do jej przeprowadzenia jest zbliżenie karty do czytnika, co umożliwia komunikację pomiędzy mikroprocesorem na karcie z terminalem. Informacje o dokonanych transakcjach są przekazywane do rozliczenia w chwili dokonania transakcji stykowej. Przeprowadzenie takiej transakcji powoduje również wyzerowanie limitów transakcji w mikroprocesorze oraz wyzerowanie kwotowego limitu operacji przeprowadzonych od czasu dokonania ostatniej transakcji stykowej.

Warto nadmienić, iż zarówno sama charakterystyka transakcji bezstykowych - dedykowanych do dokonywania płatności niskokwotowych, jak i wspomniane limity tych transakcji nie powodują obniżenia bezpieczeństwa ich dokonywania. Ponadto trzeba pamiętać, iż informacje o dokonywanych transakcjach przekazywane są posiadaczowi karty w otrzymywanych przez niego zestawieniach, co jest dodatkowym elementem umożliwiającym kontrolę dokonywanych wydatków.

Ważnym elementem odróżniającym płatności bezstykowe od pieniądza elektronicznego jest fakt, iż dokonywanie transakcji kartami wyposażonymi w tego typu funkcjonalność jest możliwe we wszystkich punktach akceptujących na świecie, które posiadają odpowiednie terminale i warunkowane przynależnością karty do jednego z międzynarodowych systemów kart płatniczych. Funkcjonujące dotychczas systemy pieniądza elektronicznego bazujące na kartach mikroprocesorowych są zawsze ograniczone z punktu widzenia terytorium akceptacji, najczęściej do obszaru jednego regionu lub państwa.

Funkcje niepłatnicze

Funkcjami, które powyżej zostały określone mianem niepłatniczych, są wszelkiego rodzaju funkcjonalności niezwiązane z podstawową funkcją karty płatniczej, jaką jest dokonywanie zapłaty lub wypłata gotówki. Wskazywaliśmy już w poprzednich artykułach, iż posiadacz karty płatniczej może, dzięki pewnym usługom dodatkowym związanym z kartą (np. programy lojalnościowe czy tzw. karty co-brandowe), stać się beneficjentem określonych korzyści. Ponieważ wachlarz usług i udogodnień dodatkowych został już szczegółowo omówiony, w tym miejscu zajmiemy się innego rodzaju funkcjami i usługami, które mogą być związane z kartą mikroprocesorową. Również w tym przypadku mamy do czynienia z możliwością daleko szerszego wykorzystania kart mikroprocesorowych, w związku z zastosowaną nowoczesną technologią zapisu i przechowywania danych.

Pojemny nośnik informacji

Mikroprocesor, jako niezmiernie pojemny nośnik informacji, może być wykorzystywany jako narzędzie służące do identyfikacji. Proces identyfikacji może być przeprowadzany zarówno jako dedykowany do wykorzystania wobec jednego podmiotu (bank, firma ubezpieczeniowa, partner handlowy, uczelnia), jak również w sposób powszechny poprzez zastosowanie mikroprocesora jako narzędzia wykorzystywanego w procesie składania podpisu elektronicznego. W tej sytuacji karta mikroprocesorowa staje się instrumentem, na którym przechowywane są dane wykorzystywane przez osobę uprawnioną w procesie składania podpisu elektronicznego.

Możliwość zastosowania tej opcji powinna się jednak ograniczyć do podpisu cyfrowego dedykowanego do usług bankowych wydawcy karty. Karta płatnicza jest bowiem własnością banku, a bezpieczny podpis elektroniczny jest zawsze własnością klienta. W przypadku utraty karty przez posiadacza i jej odnalezienia, karta powinna zostać zwrócona bankowi, a to rodzi poważne komplikacje prawne w stosunku do właściciela bezpiecznego podpisu elektronicznego. Można wprawdzie doprowadzić do sytuacji, w której bank będzie dzierżawił fragment mikroprocesora dla potrzeb klienta i na podstawie umowy nie będzie ponosił odpowiedzialności za bezpieczeństwo podpisu i jego ewentualne wykorzystanie przez osoby nieuprawnione. Niemniej jednak łączenie na jednym nośniku aplikacji finansowych z publicznoprawnymi wymaga istotnej rozwagi.

Ponadto karty mikroprocesorowe wskazywane są jako potencjalne nośniki dla aplikacji miejskich i różnorakich funkcjonalności z nimi związanych (karty miejskie, karty turystyczne), aplikacji związanych z dofinansowaniem udzielanym przez instytucje administracyjne (zapomogi, dotacje, wszelkiego rodzaju wsparcie socjalne), związanych z ubezpieczeniem zdrowotnym, jak również wiele innych. Rozważane są również możliwości zapisywania na mikroprocesorze również danych osobistych (historia chorób, karta zdrowia).

Ujednolicenie wymogów

Pojawia się w tym miejscu pytanie o praktyczne aspekty wdrożenia powyższych planów, szczególnie z punktu widzenia możliwości wykorzystywania kart płatniczych w różnego rodzaju terminalach i korzystaniu z różnorakich aplikacji. Problem ten został rozwiązany poprzez opracowanie tzw. standardu EMV mikroprocesora. Celem jego opracowania było ujednolicenie wymogów, którym powinny odpowiadać mikroprocesory umieszczone na kartach płatniczych.

Standard ten, opracowany wspólnie przez największe międzynarodowe organizacje kart płatniczych (od nazw organizacji utworzony został skrót EMV), zawiera katalog wymogów, których spełnienie przez mikroprocesor umieszczony na karcie płatniczej zapewnia powszechną akceptację karty. Katalog ten stanowi również zestawienie funkcjonalności karty płatniczej. Należy przy tym pamiętać, iż zestawienie to dotyczy zarówno funkcjonalności, które określane są jako obowiązkowe, czyli związane z podstawową funkcjonalnością karty płatniczej, jak również funkcjonalności opcjonalne, których wykorzystanie jest dobrowolne i uzależnione od konkretnego zapotrzebowania.

Obecnie wydawanie karty zgodnej ze standardem EMV uważane jest za najtrafniejszy wybór zarówno z punktu widzenia aspektów bezpieczeństwa takiej karty, jak również ze względu na szeroki wachlarz możliwości kreowania usług dodatkowych, związanych z kartą.

Wysoki stopień zaawansowania technologicznego kart wyposażonych w mikroprocesor jest gwarancją tego, iż te elektroniczne instrumenty płatnicze w przyszłości mogą stać się wielofunkcyjnym narzędziem dokonywania zapłaty, a ponadto służyć jako wygodne narzędzie ułatwiające, a wręcz umożliwiające funkcjonowanie w społeczeństwie informatycznym. Można przypuszczać, iż w niedalekiej przyszłości staną się podstawowym narzędziem, dzięki któremu na szeroką skalę możliwe będzie wdrażanie w Polsce wysoko rozwiniętej gospodarki elektronicznej.

Standard EMW jest też jednym z kluczowych elementów SEPA Cards Framework, czyli kształtu prawnego dla kart płatniczych na jednolitym rynku usług płatniczych w Europie. Zgodnie z tą samoregulacją, banki europejskie (w tym polskie) zobowiązały się, że do 2011 roku wszystkie wydawane przez nie karty będą wyposażone w mikroprocesor zgodny ze standardem EMV. Dlatego też należy uznać, że karta płatnicza z mikroprocesorem za kilka lat będzie powszechnym instrumentem płatniczym.