Kuinka turvallista lähimaksaminen on?

3 minutes

Lähimaksuominaisuudella varustetut maksu- ja luottokortit ovat yleistyneet suomalaisten taskuissa muutaman viime vuoden aikana, ja nykyään myös niitä tukevat maksupäätteet ovat ilahduttavan yleinen näky. Korttien normaalin uusimiskierron myötä lähes jokainen maksukorttia käyttävä on jo saanut kosketuksen tähän teknologiaan.

Turvallisuushuolet on liitetty lähimaksukortteihin alusta asti ja saattavat yhä edelleen nousta otsikoihin ajoittain. Kriittinen suhtautuminen maksuvälineen turvallisuuteen on luonnollisesti tärkeää, mutta lähimaksukorttien tapauksessa huolet ovat onneksi pääasiassa turhia. Tässä jutussa käymme läpi yleisiä huolenaiheita lähimaksun turvallisuudesta ja pohdimme, miten mobiilimaksut voivat muuttaa tilannetta.

Lähimaksamisen tekniikkaa

Lähimaksaminen perustuu Near-Field Communication –protokollaan (NFC), joka mahdollistaa tiedon lukemisen passiiviselta sirulta lähietäisyydeltä, langattomasti ja ilman kosketusta. Siru saa virtansa lukijalaitteen lähettämistä radioaalloista, joten niitä voidaan asentaa muun muassa maksukortteihin. Sirukortin tapauksessa tulee huomata, että NFC-siru ja varsinainen siru, josta kortti saa nimensä, ovat kaksi eri laitetta. Ensimmäinen mahdollistaa langattoman tiedonsiirron ja jälkimmäinen korvaa perinteisen magneettinauhan ollen luettavissa vain fyysisessä kontaktissa.

Mikäli maksupääte eli kortinlukija tukee lähimaksuja, se sisältää tarkoitusta varten suunnitellun antennin. Se säteilee radiotaajuudella, ja kun maksukortin NFC-siru tuodaan riittävän lähelle, antennin magneettikenttä indusoi sirun antenniin sähkövirran, jota siru käyttää voimanaan. Kortilla oleva siru voi nyt toimia pienen sähkölaitteen tavoin. Se vastaanottaa tietoa lukijalta seuraamalla magneettikentän muutoksia, ja voi lähettää tietoa muuttelemalla käyttämänsä virran määrää, jonka kortinlukija voi havaita ja lukea.

Luvattomat veloitukset yleisön huolenaiheena

Lähimaksaminen, NFC

Kortin lähimaksuominaisuutta käytettäessä on Suomessa mahdollista maksaa korkeintaan 25 euron ostoksia ilman PIN-koodin näppäilyä ja kortin käyttämistä lukijassa. Mahdollisuus maksaa etänä ilman muuta varmistusta synnyttää teoriassa mahdollisuuden tehdä luvattomia veloituksia, joka onkin tyypillinen lähimaksuihin liittyvä huoli.

NFC-standardin mukaan sirun tulee olla 4 cm päässä tai lähempänä lukijasta, jotta yhteys laitteiden välille muodostuu. Käytännössä lähimaksukortin sirun lukeminen kauempaa on tehty vaikeaksi käyttämällä radiotaajuutta, jolla tiedon siirtäminen kauemmas vaatisi huomattavan suuritehoisia erikoisvälineitä ja olisi silti hyvin virhealtista. Lähimaksun käyttäjän ei siis ole syytä huolehtia kauempaa tulevista lukuyrityksistä.

Toisaalta rikolliset voivat päästä ahtaissa tai ruuhkaisissa tiloissa huomaamatta lähikontaktiin uhrinsa kanssa ja tehdä luvattomia veloituksia maksupäätteellä. Tämä on teoriassa mahdollista, mutta käytännössä toiminnasta jäisi hyvin pian kiinni, koska maksutapahtumien tiedot johtaisivat suoraan tekijöiden ovelle.

Onko etäluettava kortti helpompi kopioitava?

Osittain edelliseen kohtaan liittyvä pelko on, että lähimaksuominaisuudella varustetun kortin tiedot kopioidaan edellä kuvatun kaltaisessa tilanteessa tai esimerkiksi lailliseen maksupäätteeseen piilotetulla laitteella tai viruksella. Lähimaksun osalta turvallisuus on taattu kryptaamalla siinä käytettävä tieto, ja vaikka sen saisikin kopioitua, vaaditaan lähimaksun yhteydessä satunnaisesti PIN-koodia, johon väärinkäyttö viimeistään tyssää.

Lähimaksun ainoa merkittävä turvallisuusongelma on se, että kortin numero ja voimassaoloaika on mahdollista etälukea sirulta selväkielisenä. Valtaosassa verkkokauppoja tämä ei riitä CVC/CVV-varmistuskoodin puuttuessa kortin käyttämiseen. Osa kuitenkin hyväksyy korttimaksut ilman varmennuskoodia, ja tietoturvatutkijat ovatkin onnistuneet tilaamaan verkosta tuotteita käyttämällä NFC-lukijalla lähimaksukortilta luettuja tietoja. Tällaisissa tapauksissa vastuu ei kuitenkaan jää kuluttajalle, mutta tilitietojaan on hyvä pitää silmällä, kuten muutoinkin.

Korttimaksamisen turvallisuus paranee lähimaksulla

PIN-koodin urkkiminen käyttäjän näppäillessä sen maksupäätteeseen on yleinen tapa päästä käsiksi joko lukijassa kopioidun tai varastetun kortin varoihin. Pienten ostosten maksaminen lähimaksulla eli ilman PIN-koodin näppäilyä vaikeuttaa urkintaa merkittävästi. Lisäksi varastetulla kortilla ennen sulkuilmoitusta tehdyt veloitukset saattavat jäädä kortinhaltijan vastuulle, joka tasapainottaa aiemmin mainitun kopioinnin riskiä, jonka seuraukset maksavat muut osapuolet.

Lähimaksun turvallisuutta arvioitaessa kannattaa myös muistaa, että NFC-tekniikka ei itsessään ole kovin uusi ilmiö. Vastaavia siruja on käytetty vuosikaudet samankaltaisten summien yhteydessä esimerkiksi bussikorteissa, eikä vakavia väärinkäytöksiä ole ilmennyt.

Mobiilimaksamisen kautta takaisin etämaksamiseen

Lähimaksuihin luetaan myös matkapuhelimen NFC-ominaisuudella tapahtuva maksaminen, jossa kortin sijasta maksupäätteelle näytetään kännykkää. Se on ollut Suomessa korttipohjaisia lähimaksuja harvinaisempaa osittain sen vuoksi, että maailmalla erittäin suosittu Apple Pay on tulossa tänne vasta loppuvuonna 2017. Lienee turvallista ennustaa, että perinteiset maksukortit tulevat kuitenkin ajan myötä väistymään mobiilimaksamisen tieltä.

Mobiilimaksaminen on mahdollista myös ilman lähilukua, kuten esimerkiksi MobilePay-palvelussa. Siinä on mahdollista tehdä veloituspyyntöjä asiakkaan puhelinnumeron perusteella tai lukemalla puhelimella kauppiaan QR-koodi. Maksu tapahtuu palvelun appin ja internetin kautta, ja on näin ollen toteutukseltaan lähempänä etämaksua tai verkkomaksua kuin nykyisiä lähimaksuja.

Tulevaisuudessa voi olla, että maksaminen ei vaadi mitään laitetta. Maksupääte tunnistaa asiakkaan esimerkiksi sormenjäljen ja kameran avulla, jonka jälkeen maksu voidaan hyväksyä ja veloittaa. Toistaiseksi elämme kuitenkin lähimaksujen aikaa, jotka useimmat kortit mahdollistavat, halusi sitä tai ei. Kuten korttien kohdalla aina, kopiointi ja uudet, arvaamattomat väärinkäytökset ovat mahdollisia, joten suosittelemme seuraamaan tilitapahtumia.