Как происходит оплата по карте без введения PIN-кода?

Question

[Александр Карабанов]

Здравствуйте.

Всегда полагал, что для совершения платежа по карте, защищённой PIN-кодом, необходимо этот самый PIN-код вводить, но сегодня убедился в обратном. Зашёл в магазин помидорок купить, а в кармане не оказалось наличных и я расплатился картой (раньше в этом магазине никогда картой не расплачивался), кассир провела картой по считывателю, ввела некую магическую комбинацию на клавиатуре (как только она начала нажимать на клавиши, в голове пронеслись мысли: что она делает и когда даст мне терминал, что бы я смог ввести PIN-код?), нажала Enter и… И в кармане завибрировал телефон: пришло SMS-оповещение об успешном списании О_о

Как происходит подобная операция? Почему это возможно?

Answer 1

[rPman]

Не буду отвечать алгоритмами, но отвечу по другому.

Банковские платежи для физиков делятся грубо говоря на два типа — 'легко-сложно-отменяемые' и 'совсем не отменяемые'. Первые — совершаются какраз без требования PIN-кода. Такие платежи можно откатить соотв. заявлением в банк (например при краже карты или информации с магнитной полосы кардером).

Операции, совершенные с вводом PIN-кода невозвратные, т.е. практически невозможно их отменить (правда я думаю это не совсем невозможно, если будут достаточные основания, например суд).

Кстати необходимость выбора метода авторизации определяется не только наличием чипа на карте (а так же типом платежей, например оплата с кредитной карты с уходом в минус) но и просто конечным оборудованием. В одном магазине. в котором я часто оплачиваю покупки по карте, из трех касс одна вне зависимости от типа карты (дебетовая или нет) не требует от меня PIN-кода, объясняя это 'такой у нас там терминал'.

Comments

[Jonh Doe]

Вообщем не соовсем так. Есть старые терминалы и новые. (которые могут толкьо ленту читать и которые могут читать микрочип). В первом случае ответственность за проведение платежа берет на себя банк обслуживающий этот платежный терминал, во втором случае вы сами. Т.е. если кассир ввел не ту сумму, или вам два раза списали без введения пинкода, то по заявлению в банк Вам все вернут. Во втором случае, если вы ввели пинкод и не проверели сумму платежа, то это полностью ваша проблема.

З.ы. Магическая комбинация — это вбивание суммы платежа.

З.З.ы. Операцию с пинкодом можно отменить так-же легко. При наличии чека. По факту приходит тетя с ключем от кассы и снимает платеж, Вам средства вернут на карту в конце отчетного периода (как-правило это месяц.)

[charon]

«старых» терминалов, которые не поддерживают чип, уже практически нет в природе. Ранее были, но в Европе их давно перестали выпускать. Про Украину писали, что таких терминалов очень мало, менее 5% или 2% (уже не помню). Лично я такие терминалы не видел никогда.

Answer 2

[interrupt_controller]

иногда то, что она ввела — это просто сумма платежа

Answer 3

[max_mara]

Вообще пин-код не обязателен для совершения транзакции, любой мерчант может попробовать провести транзакцию имея в наличии номер карты и expiration date или номер с магнитной ленты. Скорее всего в ваше магазине вас либо попросили расписаться на чеке, либо сумма Вашей покупки была меньше какого-то не значимого лимита, что магазин не стал вам голову морочить.

А девушка ввела сумму платежа и возможно последние четыре цифры с Вашей карты.

Зачем офф-лайн мерчанты спрашивают подпись, иногда паспорт или пин-код? А он-лайн мерчанты спрашивают CVC и billing address? Что-бы уменьшить количество мошенников и оградить себя от проблем. Ни один мерчант долго не протянет обслуживая мошенников.

Comments

[Александр Карабанов]

Скорее всего в ваше магазине вас либо попросили расписаться на чеке...

Меня всегда просят распираться на чеке, даже если я вводил PIN-код… Не припомню случая, чтобы не просили.
А сумма платежа действительно была маленькой.

[1x1]

Могут быть комбинированные методы верификации. Если на чеке после ввода PIN есть место для вашей подписи — подписываться нужно. Если места под подпись нет, то подобное требование является нарушением.

Answer 4

[Dmitrii]

Пин, без пина, это еще куда ни шло…
А вот когда карта защищена 3D Secure и на сайте без проблем с нее снимают нужную сумму (еще и без CVC/CVV), вот это уже интересно как?

Comments

[Beduir]

Чтобы 3D Secure работало, кроме самой карты эту технологию должен поддерживать и сам «сайт».

[vinograd19]

Вики:

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте при условии что он не поддерживает эту технологию. В случае 3-D Secure происходит так называемый «Перенос ответственности» (англ. Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту.

[Dmitrii]

Да тут, на самом деле, вопрос не столько в самой 3D Secure, сколько в том, как они без CVC/CVV снимают деньги? Остальное мне ясно, спасибо.

[1x1]

Большинство банков не требуют CVC/CVV. Это более опасно для мерчанта, т.к. опротестовать такие транзакции проще, но позволяет организовать оплату одним кликом.

Answer 5

[Александр Карабанов]

Всем спасибо за ответы.
В целом, принцип ясен. Ничего сверхъестественного, всё объяснимо и законно.
Напишу e-mail в банк, чтобы уточнить лимиты и прочие тонкости.

Answer 6

[vsespb]

О времена, о нравы! Раньше меня удивляло обратно, когда оплата по карте происходила с требованием ПИН кода!

Comments

[ipswitch]

Мало ходили с картами типа Maestro. Многое потеряли.