Kortsvindel – er det nødvendigvis din skyld?

credit-card-scamNå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?

Det er mange måter et betalingskort kan bli misbrukt på. På nett holder det at noen får kjennskap til kortnummer, utløpsdato og valideringskode (CVV), noe som enkelt kan la seg gjøre ved å se på (ta bilde av) kortet eller gjennom phishing. For misbruk i den virkelige verden må man enten kunne lage en reproduksjon (f.eks gjennom skimming) eller stjele kortet. Og selv om de fleste betalingskort nå er smartkort, så inneholder magnetstripa fremdeles (tilsynelatende) den samme informasjonen.

Allerede nå er det grunn til å være betenkt med tanke på hvordan dagens ordning praktiseres. Dersom misbruket har skjedd med gyldig PIN-kode på første forsøk ender banken svært ofte opp med å anta at misbruket var mulig fordi kort og kode ble oppbevart sammen. Dette anses som grov uaktsomt og følgelig blir egenandelen høyere. I gamle dager, når kort var noe nytt og ble brukt sjelden, var det kanskje ikke usannsynlig at noen noterte koden og oppbevarte denne sammen med kortet i pengeboken. Men nå, når kortet dras hver dag og kanskje også flere ganger om dagen – er det langt mindre sannsynlig at dette skjer. Det er også slik at PIN-koder ofte er knyttet til fødselsdato (egen, barn, ektefelle, osv) og med dagens bruk av sosiale medier er dette i langt større grad også kjente verdier for utenforstående. Og, så har vi selvsagt alle analoge metoder å avdekke PIN-koder på. Likevel er det påfallende ofte at banken hevder at grunnen til misbruket er at kort og kode ble oppbevart sammen.

Problemet med det nye forslaget er at du faktisk får hele riskioen uten engang å ha mulighet til å finne ut hva den risikoen egentlig er. For å kunne vurdere risiko trenger du å vite sannsynligheten og konsekvensen ved misbruk. Konsekvensen er ganske grei – du taper penger. Men hvor sannsynlig er det? Det kommer selvsagt an på angriperne (antall, ressurser), hvor sårbart kredittkortet er (svak kryptering? dårlige protokoller?) og selvsagt hvilke andre sikkerhetstiltak som er iverksatt (deteksjon av mistenkelige transaksjoner). Den geografiske sperren kan du kanskje gjøre noe med selv, men det er få eller ingen som vil ha nødvendig informasjon om (og interesse for) hvor mange, hvor dyktige og hvor ressurssterke angriperne er. Banken vil heller aldri gi noen informasjon om sårbarheter i betalingssystemet  eller gi fra seg informasjon slik at du eller en sikkerhetsekspert kan vurdere eventuelle sårbarheter. Kort sagt, så blir du da bærer av risikoen med veldig liten kjennskap til denne og med svært få muligheter til å begrense den (siden det ikke er en reell mulighet å la være å bruke betalingskort overhodet).

Dersom målet er å øke sikkerheten ved betalingskort er det mest nærliggende å forsøke å få til konkurranse mellom bankene på dette punktet. Hvilken bank blir den første til å ikke tilby magnetstripe? Hvem er det som innfører to-faktor (sms eller app) autentisering ved kontantuttak i utlandet? Hvem er det som faktisk tør å offentliggjøre sikkerhetsspesifikasjonen for sine betalingskort?

La oss få banker som er offensive i sin sikkerhetstenkning, ikke banker som vil slippe å ta ansvaret for deres eget sikkerhetssystem!