Após o EMV Shift, os cartões de crédito ainda não são tão seguros quanto possível

Já se passaram mais de seis meses desde que as regras em torno da fraude com cartão de crédito mudaram, conduzindo a uma mudança de antigos cartões de crédito de tarja magnética para cartões incorporados com chips EMV. Mas apenas 20% dos terminais de cartão de crédito nos EUA foram ativados para uso de chips até abril de 2016, de acordo com o Mercator Advisory Group. E apenas 60% de todos os cartões de crédito foram atualizados com chips.

No entanto, você pode ter passado pelo novo processo de colocar seu cartão com chip em um leitor, aguardar a transação ser verificada e ser ouvido pela máquina se você deixar seu cartão por muito tempo.

O processo foi fortemente promovido para melhor cuidar de seus dados. Mas provavelmente não é tão seguro quanto uma transação EMV poderia ser. E há uma barra bastante baixa para o quão seguro qualquer Transação EMV pode ser. Parte disso são os limites da tecnologia, e parte é a realidade do comportamento humano.

Comportamento do consumidor como ponto de discórdia

Alguns obstáculos na transição EMV foram amplamente notados. Por um lado, as transações podem ser lentas. Por outro lado, você ainda verifica sua identidade da maneira antiga, assinando seu nome e, para transações menores, não precisa fazer isso.

“As transações levarão muito mais tempo nas filas de lojas que exigem cartões com chip para serem inseridas em seus leitores de cartões com chip - pelo menos a curto prazo, já que os comerciantes aprendem a acelerar o processo”, diz Brian Krebs, jornalista e segurança especialista em Krebs em Segurança. “Além disso, provavelmente muito mais pessoas deixarão seus cartões dentro das máquinas e aumentarão as perdas perdidas e roubadas dos bancos, pelo menos no curto prazo até que os consumidores se acostumem com os dispositivos.”

Na Europa, os consumidores têm usado cartões de crédito por anos - décadas, em alguns casos. Mas, para segurança adicional, os cartões exigem que os portadores de cartões insiram um código PIN para verificar sua identidade durante uma transação. Então, por que os EUA não adotaram um sistema de chip e PIN, em vez de assinatura de chip e assinatura? Um fator importante foi o reconhecimento dos emissores de quão difícil é forçar uma mudança no comportamento do consumidor.

"NOS. os consumidores não estão acostumados a inserir um PIN com transações com cartão de crédito ”, diz Julie Conroy, diretora de pesquisa do Aite Group em Massachusetts. “Muitos dos emissores que eu falei com chip e assinatura eleitos porque nenhum emissor queria emitir cartões cuja experiência do usuário o colocasse em desvantagem competitiva. Nas palavras de um emissor, ensinar os consumidores a mergulhar em vez de furto era mudança suficiente; eles não queriam arriscar ter que ensinar os consumidores a mudarem dois comportamentos ao mesmo tempo. ”

Uma tentativa de parar a fraude

Por que os consumidores dos EUA mudam alguma coisa? O principal motivo foi fraude.

Em 2014, mais de US $ 16 bilhões foram perdidos em fraudes em cartões de crédito em todo o mundo, de acordo com o The Nilson Report, que cobre o setor de pagamentos. Das perdas, 48% ocorreram nos EUA. Cartões de tarja magnética tradicionais são mais fáceis de hackear, porque as informações armazenadas na tarja são estáticas ou imutáveis. Copie-o uma vez e você poderá criar um cartão duplicado. Os chips EMV, no entanto, geram um código exclusivo para cada transação, de modo que as informações copiadas de uma transação não podem ser usadas em outra.

"NOS. os consumidores são amplamente protegidos da fraude [custo direto do cartão de crédito], graças ao ambiente regulatório dos EUA e à garantia de responsabilidade zero que as redes de pagamento oferecem ”, diz Conroy. A mudança para o EMV, na verdade, é mais uma questão de proteger os emissores de cartões de crédito contra perdas por fraude do que proteger os consumidores.

Em outubro de 2015, houve a introdução de novas regras sobre responsabilidade por fraudes com cartões de crédito. Se ocorrer fraude, a parte que não estiver usando a tecnologia EMV é responsável pelas perdas. Se o cartão em questão não tiver chip EMV, a responsabilidade será do emissor. Se o comerciante não tiver um leitor de chip EMV, o comerciante terá responsabilidade. A responsabilidade também pode ser compartilhada.

PIN oferece apenas proteção limitada

O que não leva em consideração na equação do passivo é se o cartão com chip depende de um PIN ou de uma assinatura para verificação. E a verdade é que a maioria das fraudes com cartões de crédito não seria impedida com chip e PIN.

"Chip e PIN protege contra fraudes perdidas e roubadas - ou seja, se alguém roubar sua carteira, não poderá levar seus cartões facilmente para uma maratona de compras", diz Conroy. Esse tipo de fraude é minúsculo comparado com a fraude geral de cartão de crédito, diz Conroy.

Além disso, os ladrões sempre encontrarão uma maneira de contornar a segurança. "Vimos, com base no exemplo de outros países, que os criminosos se tornaram hábeis em capturar o PIN, seja por meio de ataques de skimming, de surfar no ombro ou de identificar câmeras", diz Conroy. Como o PIN não muda a cada compra, a Conroy afirmou que "tem seus limites em termos de sua capacidade de combater com eficácia a fraude". Quando o Reino Unido foi para chip e PIN, fraude perdida e roubada caiu brevemente, mas dentro de alguns anos estava de volta aos níveis pré-PIN ”.

Os chips EMV também não têm papel nas transações on-line, portanto os cartões com chip são tão vulneráveis ​​quanto os cartões com tarja magnética.

Existe uma maneira mais segura?

Conroy diz que chip e PIN são, na melhor das hipóteses, uma correção de curto prazo."Idealmente, gostaria de ver o setor ultrapassar o PIN e passar para outras formas de verificação, como biometria, verificação de dispositivos móveis etc.", diz ela. "No processo, devemos também eliminar a assinatura - que é cara para os comerciantes armazenarem e é inútil como um método de autenticação do cliente, conforme implementado atualmente."

Krebs sugere o uso de "tokens" como forma de combater fraudes. Com a tokenização, os computadores dos comerciantes não armazenam dados de cartão de crédito. Em vez disso, eles armazenam um número de espaço reservado, ou token, que pode ser usado para recuperar dados do emissor.

"A tokenização pode ajudar os comerciantes a evitar o armazenamento de dados do cartão por qualquer período de tempo e, no processo, diminuir a probabilidade de que os criminosos virtuais os direcionem para os dados do cartão", diz ele. A tokenização reduziria a ameaça de violações de dados, que é como a maioria dos consumidores se torna vítima de fraude de cartão de crédito.

As soluções móveis têm suas próprias limitações

Pagamentos móveis e carteiras digitais, como o Apple Pay, podem fornecer uma alternativa. Mas Conroy diz: "Enquanto algumas implementações específicas de comerciantes de pagamentos móveis estão vendo grande sucesso - Starbucks, por exemplo - a adoção dos pagamentos móveis de loop aberto - Apple Pay, Android Pay - está se movendo muito mais lentamente".

Krebs também vê um risco de segurança para pagamentos móveis. “O Apple Pay usa uma forma de tokenização, mas os problemas no passado com a Apple Pay resultavam de procedimentos frouxos de inscrição em bancos e da dependência de elementos de dados estáticos [como números de seguridade social ou datas de nascimento] para autenticação quando esses dados eram amplamente divulgados. comprometida e à venda em quase todos os americanos ”.

A única coisa que permanecerá móvel provavelmente será o cartão em sua carteira. "Os consumidores estão muito confortáveis ​​em fazer transações com cartões", diz Conroy, "e mudar o comportamento do consumidor é difícil, então os cartões estarão conosco por algum tempo."

Ellen Cannon é escritora da Investmentmatome, um site de finanças pessoais. E-mail: [email protected]. Twitter: @ellencannon.