Mednarodna kartična sistema MasterCard in Visa sta slovenske banke obvestila, da je prišlo do zlorabe podatkov v Španiji. Gre za sum vdora v baze podatkov prodajnih mest v Španiji v obdobju od 12. januarja 2009 do 7. septembra 2009. Prišlo naj bi do množične kraje podatkov z bančnih in kreditnih kartic Maestro, MasterCard in Visa, ne samo slovenskih komitentov, temveč tudi tujih.
Nepridipravi so podatke dobili preko magnetnih stez na prodajnih mestih, kjer trgovci še nimajo POS-terminalov s čipskim sistemom branja kartic. Transakcije opravljajo preko POS-terminalov in dvigov gotovine na bankomatih. Previdnost ni odveč, saj vam lahko izpraznijo vaš račun, četudi ste kartico v Španiji uporabili le enkrat.
'Oškodovala me je banka!'
Oglasil se je bralec, ki naj bi mu Banka Sparkasse zaračunala za vpis za 'stop listo'. ''Sem med oškodovanci. Z računa so mi sicer vzeli 'le' 20 evrov. Banka mi je 'iz varnostnih razlogov' preklicala Mastercard zgolj zaradi dejstva, da sem jo letos uporabil v Španiji. Kartice mi niso oškodovali Španci, temveč kar banka sama. Za vpis na 'stop listo' mi je zaračunala 20,86 evra, čeprav ni šlo za mojo željo, temveč za njihovo samostojno odločitev. Ko sem se danes pritožil, so mi pojasnili, da uvrstitev na 'stop listo' pač toliko stane ne glede, ali jo naročim sam ali to storijo oni.'' Opozarja, da komitent sploh ne mora vplivati na strošek. ''Gre za enostaven zaslužek za banko: izračunajte, koliko banka zasluži, če ob takšni zgodbici trga 20,86 evra na primer 100.000 komitentom: 2,1 milijona evrov?'' Na odziv banke čakamo.
Koliko podatkov so pridobili nepridipravi?
NLB je svoje komitente že obvestila, vendar zlorab na srečo niso ugotovili. So pa preventivno obvestili več kot dve tretjini strank, ki so potencialno ogrožene. Zagotavljajo, da so odzivi komitentov pozitivni, "čeprav gre za neljube dogodke". Če so se uporabniki odločili za preklic, lahko novo kartico pričakuje v tednu dni. Morebitno škodo v tovrstnih primerih praviloma krije NLB in ne komitent.
O možnih zlorabah tako kreditnih MasterCard in debetnih Maestro so obvestili tudi BKS Bank AG. Doslej so ugotovili pet kraj podatkov, vendar na srečo neupravičenih transakcij ni bilo. ''Ko nas je Activa obvestila o zlorabah na petih karticah, so bile te že s strani Active vnesene na tako imenovano črno listo, tako da poslovanje preko magnetne steze ni bilo več možno. Preko čipa so naši komitenti še vedno lahko poslovali, vendar smo jim zaradi varnostnih razlogov kartice takoj blokirali in naročili nove. O tem smo jih seveda obvestili,'' so sporočili. Novo kartico bodo prejeli v treh dneh. Če bi prišlo do zlorabe kartice s strani tretjih oseb, je BKS zavarovana za povračilo škode do 1500 evrov.
V BKS Bank AG spremembe kode v teh primerih ne svetujejo, ker PIN ob zlorabah ni bil uporabljen, temveč le magnetna steza in podpis komitenta. ''Poleg tega kartični sistem Activa, v katerega smo vključeni, zaradi varnosti ne omogoča menjavanja kode. Pogosto se lahko namreč zgodi, da komitent za več kartic uporablja isti PIN, kar seveda ni varno. Menjava PIN-kode je sicer možna v kartičnem sistemu Bankart, v katerem je polovica slovenskih bank. Komitentom sicer svetujemo, da se izogibajo plačevanja preko POS-terminalov s 'staro' tehnologijo, ki še ne omogoča branja podatkov preko čipa. Odločitev je seveda njihova, število POS-terminalov brez čipske tehnologije pa se tudi hitro zmanjšuje,'' so pojasnili.
Mednarodna kartična sistema Mastercard in Visa sta o sumu morebitnih zlorab obvestila tudi SKB Banko. ''Imamo organizirane procese za obvladovanje tveganj s področja kartičnega poslovanja, kar v praksi pomeni, da izvajamo poostren nadzor nad vsemi kartičnimi transakcijami in takoj ukrepamo v primeru suma zlorab. Tudi v konkretnem primeru imetnike kartic, pri katerih obstaja sum o možnosti zlorabe, preventivno obveščamo o preklicu in zamenjavi njihovih kartic, pri čemer po telefonu strank ne sprašujemo o njihovih podatkih. Zaradi interesa preiskave javnosti zaenkrat ne moremo posredovati nobenih podrobnih informacij,'' so sporočili. Na vprašanje, ali so bile njihove stranke oškodovane, tako niso odgovorili.
Obveščeni so bili tudi v Deželni banki Slovenije, kjer niso ugotovili zlorab. Če pride do suma zlorabe, imetnike kartic najprej obvestijo, nato kartice blokirajo in naročijo nove. Če pride do suma neupravičenega odčitavanja, je kartica izdelana v enem tednu, njihovi komitenti pa lahko takrat dvigujejo denar v poslovalnicah banke. ''Deželna banka Slovenije ima kartično in bankomatsko tehnologijo, podprto v skladu s standardom čip tehnologije, ki odgovornost prelaga na tisto stran v procesu plačila, ki ni podprta s tem standardom, torej banka ali komitent tako nista oškodovana,'' so še pojasnili.
''Po obvestilih sistema MasterCard ne gre za dejansko zlorabo kartic, ampak za možnost grožnje podatkov o številkah kartic, zaradi česar obstaja povečana nevarnost za možnost zlorabe kartičnih podatkov. MasterCard sistem večinoma večjih odstopanj pri ogroženih podatkih glede na običajno število zlorab še ni zaznal. Hkrati je v obvestilu zapisal, da ni podatka, da bi bili pri čipnih transakcijah poleg podatkov o številkah kartic prisotni tudi podatki o PIN-kodah,'' so sporočili iz Hypo Alpe-Adria-Bank, kjer prav tako niso ugotovili zlorab. ''Naša odločitev je bila, da strank s klicanjem ne vznemirjamo. Odločitev temelji na zgoraj navedenih dejstvih, povezanih z ogroženimi podatki in zahtevo po uporabi čip in PIN za vse naše kartice.'' V takih primerih Hypo Alpe Adria Bank ob pravočasni reklamaciji stranki povrne celotne stroške, novo kartico pa dobi v 10 dneh.
''Banka Koper je od MasterCarda in Vise prejela obvestilo o prestrezanju baze podatkov prodajnih mest v Španiji. Obstaja sum potencialne zlorabe vseh kartic, ki so se nahajale v bazah,'' so sporočili. Dejanskih zlorab sicer niso zasledili, so pa ''vsem imetnikom, za katere smo prejeli informacijo, da so podatke nepooblaščene osebe zasegle, naročili nove kartice in jih o tem obvestili. Preventivno smo jim tudi blokirali vse transakcije preko magnetne steze, medtem ko se transakcije preko čipa izvajajo nemoteno. V teh primerih namreč podatki iz čipa niso bili zlorabljeni.'' Če bi bilo potrebno, bi komitent Banke Koper novo kartico prejel v treh dneh, če bi nastala škoda, jo v celoti krije banka.
Tudi v Raiffeisen Banki do sedaj pri nobenem imetniku niso zasledili dejanske zlorabe. "Zaradi utemeljenega suma, da bi do zlorab lahko prišlo, smo že izvedli vse varnostne ukrepe za preprečitev zlorab. Vsem prizadetim imetnikom, katerih podatki so bili prebrani, smo brezplačno naročili nove kartice z novimi PIN-kodami." V primeru zlorabe bi morebitno škodo krila stran, ki naredi "brezčipno" transakcijo.
Tudi nihče od komitentov UniCredit Bank ni bil prizadet. ''Če pridemo do informacij o situaciji, v katerih bi bile lahko oškodovane naše stranke, kartice preventivno zablokiramo na stroške banke in stranke o blokadi obvestimo. V primeru preklica kartice komitent novo kartico prejme v najkrajšem možnem roku.''
Na Abanki pravijo, da so bili obveščeni o možnih zlorabah, da naj bi bile zlorabljene kartice Visa, Mastercard in Maestro, natančno število kartic pa še preučujejo. O tem, ali so bile s karticami opravljene transakcije tretjih oseb, na Abanki podatkov ne dajejo. "Po prejemu obvestila je banka že preventivno blokirala kartice in o tem obvestila svoje komitente." "Stroške blokade in izdelave nove kartice krije banka." Če pa bi že prišlo do dvigov denarja, komitent dobi denar nazaj v celoti.
Na Banki Celje so si za naša vprašanja vzeli le toliko časa, da so nam okoli 16. ure zapisali, da jim "v tako kratkem času na žalost ni uspelo pridobiti vseh odgovorov," čeprav smo jim jih zastavili že zjutraj.
Policistov niso obvestili
Slovenska policija o navedenih zlorabah ni bila uradno seznanjena. Opozarjajo pa, da je treba s karticami ravnati previdno: ''Kartice in osebna gesla (PIN-kode) ne shranjujemo skupaj. Kodo si je treba zapomniti. Če to ni mogoče, naj bo zapisana samo na način, ki bo znan imetniku kartice (v obliki telefonske številke, napačnem zaporedju, v obliki črk …). Nikomur in nikoli ne sporočamo podatkov s kartice ali osebnega gesla na podlagi telefonskega pogovora ali po elektronski pošti. Nihče, ki ima resne poslovne namene, tega tudi ne bo zahteval."
"Kartica mora biti med poslovanjem vedno v lastnikovem vidnem polju in nikoli ne zaupamo PIN-kode drugim osebam. Pred dvigom na bančnem avtomatu ga vizualno pregledamo in iščemo dodatne nameščene predmete, kot so razna držala in stojala za reklame, obvestila, dodatni nastavki na režah za kartico, žičke na ustjih rež … Iščemo kar koli, kar se že vizualno ne poda k bančnemu avtomatu. Če opazimo kakršen koli 'dodatek', takoj obvestimo policijo na 113 ali Bankart in Active.''
KOMENTARJI (21)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.