Попробую совсем кратко описать:
Пластиковая банковская карта - это буквально номер карты, датадействия, некоторая техническая информация и ВСЁ. так было изначально. никаких ключей и т.п. изначально на ней не было. но и потом когда они появились - стали выполнять несколько иную ф-цию чем подпись транзакций
в конце нулевых появились массово чиповые (emv) карты, которые помимо номера карты действительно хранят некий ключ и могут оффлайн проверять пинкод (чтобы не отправлять запросы в процессинг и для оффлайн операций) и запоминать последний остаток денег. но и всё. повышение безопасности тут в том что у карты всёравно остаётся полоса где записан её номер и дата для поддержки старых стандартов
Безопасность этой схемы обеспечивается тем что все операции по чиповой карте должны производится по чипу, если-же они проводятся по полосе (вместо чипа) и потом опротестовываются - банк должен возвращать вам деньги без особых расследования на полгода.
Системы типа GPay - не делают копию карты, они выпускают некий аналог виртуальной карты и делают оплаты от лица этой 'виртуальной'...списывая деньги с вашей, также как если бы вы подписались на онлайн кинотеатр с ф-цией автооплаты.
Далее, двухфакторная авторизация не является обязательной, вообще. в РФ она чуть больше распространена чем в остальном мире, но она всегда опциональна и защищает не покупателя (как бы странно это ни звучало)
==
и самое главное и непонятно-недоступное многим, даже некоторым сотрудникам банка
операцию по банковской карте можно провести имея ТОЛЬКО номер карты. ВСЁ. не нужны ни CVV/CVC ни даты действия ни имя владельца, ни данные чипа, ничего, ТОЛЬКО номер.
Эту операцию конечно не сможет сделать любой сотрудник в магазине (лет 7 назад прикрыли оч большую дырку в этом направлении кстати), но она возможна и ей часто пользуются например отели.
