Atualização maciça de cartão de pagamento tem resultados mistos na Austrália

Apesar dos anos de atualização dos sistemas de pagamento da Austrália, os fraudadores continuam lucrando, deixando um registro questionável para um vasto programa para equipar cartões de débito e crédito com novos recursos de segurança.

Por vários anos, a Austrália está em transição para cartões de pagamento EMV (Europay, MasterCard, Visa), que possuem um microchip com recursos avançados de criptografia projetados para impedir fraudes. As alterações de segurança visam reduzir o uso da tarja magnética preta na parte de trás dos cartões, que podem ser copiados para criar falsificados.

O sistema EMV, desenvolvido em meados da década de 1990, foi implantado em toda a Europa e em alguns outros países. O sistema foi impulsionado pela Visa e pela MasterCard em parte por ameaças de novas obrigações de fraude, denominadas "desvio de responsabilidade", para comerciantes e processadores de pagamentos.

[Outras leituras: as melhores caixas NAS para streaming e backup de mídia]

Uma investigação do IDG News Service mostra que a mudança para o EMV na Austrália - um país com quatro grandes bancos e uma população de 22 milhões - tem sido lenta e perdeu os prazos impostos pela indústria.

A situação poderia prenunciar as dificuldades com a adoção do EMV no muito maior mercado dos EUA, com uma população de mais de 300 milhões de pessoas e mais de 6000 instituições financeiras. Enquanto a mudança para o EMV na Austrália resultou em declínios em alguns tipos de fraude, outros tipos aumentaram, sem nenhuma razão clara.

Queda de Fraude Relatada - Mas Será?

Em junho, a Compensação de Pagamentos da Austrália Association (APCA), um órgão autorregulador que gerencia políticas de liquidação entre instituições financeiras, anunciou uma queda de 18% na fraude com cartões falsificados em 2011.

Perdas com cartões de crédito e débito falsos caíram de AU $ 40,84 milhões (US $ 42 milhões) em 2010 para US $ 33,46 milhões em 2011, disse a APCA. Mas um exame mais detalhado dos números, fornecidos à APCA por bancos e empresas de cartão de crédito, não apresenta um resultado positivo tão claro.

A Austrália tem um ambiente de pagamento complexo. Existem cartões de débito e crédito com e sem o microchip EMV. Os dados de fraude enviados à APCA abrangem cartões de pagamento emitidos na Austrália, bem como cartões emitidos no exterior e usados ​​no país

Para chegar ao declínio de 18%, a APCA combinou o custo de fraude falsificada para cartões australianos de "esquema". ostentar a marca de empresas como MasterCard e Visa, com cartões de pagamento emitidos no exterior, mas usados ​​na Austrália.

A última categoria sofreu uma queda notável na fraude, de US $ 28 milhões em 2010 para US $ 17 milhões em 2011. Mas a fraude disparou em cartões emitidos pela Austrália, de US $ 12,9 milhões em 2010 para US $ 16,4 milhões em 2011, o maior número desde que a APCA começou a publicar estatísticas há seis anos. Os dados sugerem que os australianos usando cartões de esquema em seu próprio país enfrentam uma alta risco de falsificação, mesmo que esses cartões tenham o microchip EMV. Além disso, a alegação geral da APCA é de que ela não sabe se os cartões emitidos no exterior têm apenas a tarja magnética ou também contêm o chip EMV.

"Muito claramente eles estão girando os números da melhor forma possível", disse Stephen. Wilson, CEO do The Lockstep Group, uma consultoria de smartcard e identidade digital baseada em Sydney. "Os comunicados de imprensa são exercícios de marketing".

O Federal Reserve Bank de Atlanta dos EUA observou em um relatório de janeiro de 2012 que o declínio na fraude devido à implantação de EMV na Austrália é "mais modesto do que o declínio da fraude falsificada em outros chips". e PIN. "

O CEO da APCA, Chris Hamilton, admite que os números divulgados pelo seu grupo não são o resultado de um estudo científico. As conclusões são em parte especulativas com base no feedback de fontes que fornecem APCA com estatísticas. "Eu acho que é uma afirmação justa de que não está muito claro", disse Hamilton.A APCA mantém que o declínio em outros tipos de fraude pode ser atribuído à implantação generalizada de dispositivos de ponto de venda com capacidade de chip (POS).

Por exemplo, a fraude contrafeita caiu significativamente nos chamados cartões de débito "proprietários", que são cartões emitidos por bancos que usam um sistema de pagamento administrado por uma empresa chamada EFTPOS Payments Australia Limited (EPAL).

As transações EFTPOS representam 51% de todas as transações na Austrália e 80% das transações com cartão de débito. organização. Mas esses cartões não possuem o chip EMV, o que torna os cartões mais vulneráveis ​​à falsificação. A EPAL sustenta que reforçou a segurança dos cartões de débito proprietários, mas não deu detalhes específicos.

Operadoras ATM relutantes em saltar

A EPAL manteve a transferência dos seus cartões para o EMV, mas planeja nos próximos dois anos comece a implantar os cartões. O EMV é visto como uma questão de "manutenção", de acordo com um porta-voz.

Os varejistas na Austrália precisavam ter terminais de pagamento compatíveis com EMV em abril. Se não tiverem esses terminais, os varejistas podem ser responsabilizados por perdas devido a fraudes, de acordo com os prazos de conformidade.

Mas a frota de ATMs da Austrália, que inclui mais de 30.000 máquinas em todo o país, não foi atualizada tão rapidamente. > Instalar um ATM para EMV, que pode envolver atualizações de hardware e software, não é trivial. Tornar um ATM compatível com EMV exige mão-de-obra intensiva, disse Issa Keshek, especialista em conformidade com ATM EMV para a empresa Clear2Pay e que trabalhou com bancos australianos. As máquinas precisam passar por milhares de testes para garantir que funcionem com diferentes tipos de cartão. Apesar de uma atualização de um ano dos sistemas de pagamento da Austrália, os fraudadores ainda estão lucrando, deixando um registro questionável para um vasto programa para equipar cartões de débito, cartões de crédito e caixas eletrônicos com novos recursos de segurança

Como resultado, os bancos australianos pararam de funcionar e permitiram o vencimento de prazos auto-impostos. Até outubro de 2013, os caixas eletrônicos deveriam receber uma queixa de EMV. O prazo foi adiantado até junho de 2014, mas essa data ainda não foi definida, deixando mais oportunidades de fraude, disse Keshek. Um país seguro se torna um alvo ", disse Keshek. "Os atacantes começam a olhar para países razoavelmente grandes que não têm a mesma infraestrutura segura, sendo a Austrália um deles".

O Commonwealth Bank, que administra mais de 4.000 caixas eletrônicos na Austrália, disse em novembro de 2011 que seria o primeiro a implantar caixas eletrônicos que atendam ao padrão EMV. A NAB planeja que sua frota de ATMs seja totalmente habilitada para EMV até o final de junho de 2013, enquanto a ANZ disse que seus planos eram comercialmente sensíveis, mas que a atualização era uma "prioridade máxima". O WestPac disse que a maioria de seus caixas eletrônicos são compatíveis com EMV, mas isso não significa necessariamente que as máquinas estejam em conformidade ainda.

Cerca de metade dos 30 mil caixas eletrônicos na Austrália são administrados por empresas não bancárias. Os maiores são First Data e Customers ATM. A ATM se recusou a comentar, enquanto a First Data recusou-se a conceder uma entrevista, mas disse que estava trabalhando para atingir total conformidade com EMV.

Normalmente, os caixas eletrônicos não bancários "não serão construídos com os mesmos padrões de segurança que os caixas eletrônicos bancários". são dispositivos mais baratos ", disse Iain Swaine, principal consultor de prevenção de crime eletrônico da Greenway Solutions, consultoria baseada no Reino Unido. Os caixas eletrônicos não bancários devem atender aos mesmos padrões de segurança exigidos pela Visa e MasterCard, mas Swaine disse que os dispositivos podem não é tão fisicamente seguro quanto os caixas eletrônicos bancários.

"É por isso que há mais chances de que os invasores de cartão trabalhem neles e que os invasores possam entrar fisicamente nos dispositivos para colocar skimmers internos ou espionar a conexão de modem fora do "Como nem todos os cartões de pagamento têm o chip EMV na Austrália, alguns bancos podem não ter desativado o mecanismo de" fallback ", que permite que um caixa eletrônico leia dados da tarja magnética do cartão. Em alguns casos, os caixas eletrônicos também lerão os dados da tarja magnética se o chip estiver com defeito.

Isso abre uma janela de oportunidade para os fraudadores, que podem tirar proveito da complexidade, testando caixas eletrônicos para ver se os dispositivos vão pagar.

Se o cartão do cliente foi retirado e um cartão falso foi feito, "não tem jeito para um banco dizer se uma tarja magnética clonada ou uma tarja magnética real é usada ", disse Steven J. Murdoch, pesquisador do Grupo de Segurança do Laboratório de Computação da Universidade de Cambridge, que estudou extensivamente o EMV. "Os registros bancários devem ser capazes de distinguir entre chip e tarja magnética."

A situação é uma má notícia para os clientes, que podem arcar com a responsabilidade se seu cartão com chip for usado fraudulentamente. Se a tarja magnética de um cartão com chip for clonada e o ATM de um banco for configurado para ler apenas a tarja magnética, pode ser difícil para um cliente provar que não realizou uma transação suspeita.

"O banco toma medidas ainda mais agressivas para tente e mostre que você fez algo errado e que é sua negligência ", disse Keshek. "Você é quase culpado antes de se provar inocente".

Os bancos podem usar outros meios para detectar cartões falsificados. Por exemplo, se um cartão for usado em Sydney e uma hora depois usado para sacar dinheiro na Romênia, é um bom sinal que um fraudador possa estar trabalhando.

Mas os bloqueios de geolocalização têm seus limites, especialmente quando uma transação fraudulenta ocorre perto onde um portador de cartão mora. "É muito difícil pegar essas transações porque os sistemas de fraude não são apertados o suficiente", disse Avivah Litan, especialista em detecção de fraudes e analista do Gartner. "Caso contrário, eles começam a incomodar os bons clientes."

Ainda assim, os bancos estão desenvolvendo sistemas melhores para detectar fraudes, disse Swaine. O sistema financeiro global que permite pagamentos com cartão em todo o mundo é tão técnico que Wilson disse: "É incrível que funcione."

Envie dicas e comentários para [email protected]