PIN na čipu, seznamte se

Od počátku rozpoutání diskuze na téma čipových karet se na mFóru objevovaly dotazy ohledně zablokovaného PINu na čipu karty. V únoru mBank zavedla funkcionalitu, která nově umožňuje i offline ověřování transakcí  bez nutnosti připojení terminálu k bankovnímu systému, proto se s ní pojďme seznámit. Nejprve se však podívejme, jak vlastně ověřování karetních transakcí a PIN funguje.

Část 1: Jak to funguje?
Při karetních transakcích mohou být použity tři způsoby ověření: podpisem, ověřením PINu online a ověřením PINu offline.

Podpis
Pokud je transakce ověřována podpisem klienta, mezi terminálem a kartou proběhne pouze autorizační požadavek bez kontroly PINu, na který terminál obdrží odpověď z bankovního systému.

PIN online
Při ověřování karetní transakce pomocí PINu online obsahuje autorizační požadavek na bankovní systém také ověření PINu. V takovém případě se ověřuje zadaný PIN porovnáním s PINem v bankovním systému.

PIN offline
V případě ověřování karetní transakce prostřednictvím PINu offline dochází k ověření zadaného PINu s PINem na čipu, a teprve poté je zaslán autorizační požadavek na bankovní systém. Ten již nevyžaduje verifikaci PINu v bankovním systému, protože již proběhla na čipu karty.

Je důležité odlišit verifikaci PINu offline a ověření transakce offline. V prvním případě proběhne bez kontaktu s bankovním systémem pouze verifikace PINu, zatímco ve druhém případě proběhne ověřování transakce zcela bez kontaktu s bankovním systémem. Samotné využití PINu offline tedy neznamená, že transakce proběhne bez autorizace, ale že správnost zadaného PINu už není ověřována bankovním systémem. O tom, zda proběhne autorizace prostřednictvím bankovního systému a zablokování částky na účtu, rozhoduje nastavení terminálu a karty.

Počítadlo PINu offline
Proti zneužití karty pomocí metody pokusů a omylů v případě krádeže čip obsahuje počítadlo chyb při zadávání PINu. Pokud je na kartě PIN na čipu odblokovaný, počítadlo je nastaveno na tři pokusy. Když poprvé zadáme chybný PIN, hodnota počítadla se sníží na dva pokusy. Po druhém chybném zadání PINu bude počet pokusů snížen na jeden, po třetím chybném zadání na nula pokusů. Pokud má počítadlo PINu offline hodnotu nula, terminál již neověřuje správnost PINu na čipu karty, ale zasílá požadavek na ověření PINu bankovním systémem - přejde na ověření PINu online.

Část 2: Práce s PINem offline
U čipových karet tedy můžeme mít dva druhy PINu: PIN online, zapsaný v systému banky a PIN offline, zapsaný na čipu karty. Nepříjemným důsledkem toho je, že pokud provedeme například v internetovém bankovnictví nebo přes mLinku změnu PINu v bankovním systému, na čipu karty zůstává PIN původní. V případě nových karet se jedná o technický PIN, vložený během výroby. Pokud tedy je PIN čipu odblokovaný, oba PINy je nutné synchronizovat - nahradit původní PIN na kartě změněným PINem z bankovního systému.
 
Odblokování PINu offline
Před nasazením této nové funkcionality byl na čipových kartách vydávaných mBank PIN na čipu zablokovaný tak, že počítadlo PINu offline bylo nastaveno na hodnotu nula. Terminál tedy nikdy nezkoušel ověřit PIN na čipu karty a ihned ověřoval transakci pomocí PINu online v rámci autorizačního požadavku na bankovní systém. Důvod byl ten, že terminály nebyly vždy schopny správně synchronizovat oba PINy, což by klientům mohlo působit problémy. Díky nasazení nové funkcionality však PIN na čipu nyní můžeme odblokovat. 

Pro odblokování PINu na čipu bankovní systém musí vygenerovat příkaz, který změní PIN na čipu podle PINu zapsaného v bankovním systému. Jakmile přes internetovém bankovnictví nebo mLinku dojde ke změně PINu, příkaz  se odešle během první transakce na terminálu využívajícím čip a zároveň online autorizaci. Terminál vygeneruje standardní autorizační požadavek s ověřením správnosti PINu online, tedy ještě v systému banky. Následně bankovní systém odešle terminálu autorizaci včetně příkazu pro vložení PINu na čip.

Jakmile je příkaz vložen do mikroprocesoru na kartě, dojde k odblokování počítadla PINu offline, jeho nastavení na 3 pokusy a zároveň zapsání nového PINu na čip. Pokud se změna povede, terminál odesílá pozitivní potvrzení do banky a proces je zakončen. V tom okamžiku je PIN na čipu odblokovaný a stejný jako PIN v bankovním systému.

Je-li je provedena změna PINu v bankovním systému, k zaslání příkazu stačí jakákoliv transakce, při kterém dochází k online spojení terminálu využívajícího čip se systémem banky, tedy například zjištění zůstatku. Transakce ani nemusí být úspěšná, k vložení příkazu například dojde i v případě zamítnutí operace z důvodu nedostatek prostředků. Příkaz se nevloží pouze při bezdotykové operaci, pokud je pro ověření transakce využit magnetický pásek nebo nedojde k online autorizaci v bankovním systému.

Změna PINu na kartě s odblokovaným PINem offline
Pokud u karty s odblokovaným PINem na čipu změníme v internetovém bankovnictví PIN, na čipu zůstane stále PIN původní. Jak se tedy správný PIN dostane i na kartu?

Na řadu přichází počítadlo PINu offline na čipu karty. Při prvním použití karty po změně PINu zadáme již nový PIN. Pokud dojde k verifikaci PINu na čipu, karta tento PIN ověří třikrát negativně, neboť na kartě je stále PIN původní. Při čtvrtém pokusu dojde ke spojení se sytémem banky, ověření PINu online a jeho akceptaci. Zároveň je na kartu odeslán příkaz s novým PINem a dojde k nastavení počítadla PINu offline opět na tři pokusy. 

V případě prvního použití karty po změně PINu v terminálu s verifikací PINu offline je tedy nutné počítat s tím, že bude nutné zadat nový PIN až čtyřikrát, aby došlo k jeho aktualizaci na čipu. Po změně PINu v bankovním systému proto doporučujeme pro první transakci využít terminál, který ověřuje PIN pouze online, například jakýkoliv čipový bankomat. Není potřeba vybírat hotovost nebo zjišťovat zůstatek na účtu, stačí se přihlásit zadáním nového PINu. 

Aktualizace 6.5.2010 - dotazy a odpovědi na ně:

1. Nuluje se počítadlo po správně zadaném PINu?

Ano

2. Pokud je PIN zablokován a dojde k online transakci, zapíše se PIN i pokud nebyl změněn?

Ne

3. Dá se nějak poznat nebo zjistit zda ten PIN na čipu je nebo není?

Jediný způsob, jak to spolehlivě poznat, je zkusit platbu na offline terminálu, který umí ověřit pouze PIN offline. Online a offline terminály od sebe nelze snadno odlišit, naprostá většina terminálů je však online, i když se primárně snaží transakce autorizovat pomocí PIN offline. Jasně offlinovými terminály jsou například CAT (Cardholder Activated Terminals) sloužící pro výběr mýtného na dálnicích atp., kde nedochází k platbám vyšších částek, které by bylo nutné online autorizovat v bankovním systému.

4. Je PIN už na nově vydávaných a obnovovaných kartách? Pokud ano tak od kdy se tam začal dávat?

Řešení bylo nasazeno 8.2.2010, tudíž někteří klienti PIN offline již mají a totéž platí pro obnovované karty po tomto datu. U nových karet je tato funkcionalita nastavena automaticky. Jakmile je aktivován v systému PIN na kartě a proběhne první autorizace přes PIN online, PIN offline je nastaven.

5. Nuluje se počítadlo po správně zadaném PINu nebo dá se nějak vynulovat?

Ano, nuluje automaticky.

6. Dá se nějak zjistit (zkontrolovat) stav toho počítadla nesprávně zadaných PINů?

Ne

7. Vyžaduje mBank aby si každý uložil PIN na čip karty a nebo to není povinné?

Není to povinné, nicméně tím, že si PIN na čip klient uloží, je jisté, že bude moci zaplatit v místech, kde v minulosti byly potíže při placení našimi kartami – např. Anglie, mýtnice v Itálii apod.. Ovšem aby nedošlo k aktivaci nové funkcionality, nesmí dojít ke změně PIN v bankovním systému.

8. Proč je uložení PINu na čip karty zpoplatněné formou poplatku 25 Kč za změnu PINu?

Poplatek nemusíte platit, pokud nebudete chtít PIN na čipu využít dříve, než dojde k obnovení vaší karty a automatické aktivaci této funkcionality.

9. Nemohl by tento poplatek být zrušený alespoň na přechodnou dobu než si klienti ten PIN na karty uloží?

Nikoliv, toto je standardní poplatek uvedený v sazebníku, změna poplatků není úplně jednoduchá věc.

10. A je opravdu nutné nejprve provést žádost o změnu PIN v bankovním systému?

Ano, jinak by nemohlo dojít k nahrání příkazu – skriptu, který PIN nahraje na čip.

11. Neproběhne nahrávka skriptu na čip a následná aktivace při běžném použití karty v online terminálu automaticky?

Viz výše – v případě karet vydaných po 8.2.2010 je tato funkcionalita nastavena automaticky.

12. Tedy - správná otázka - dojde k automatickému uložení PINu na čip i v případě, že PIN nezměním, pouze provedu nějakou operaci, kvůli které se moje karta spojí s bankovním systémem?

V případě karet s čipem vydaných před 8.2.2010 je nutné provést oba dva kroky včetně změny PINu v bankovním systému, aby se PIN na čip nahrál.

13. Mám kartu starší, vydanou před 8.2. a PIN je na ní stále stejný od začátku, takže se neměnil ani před ani po 8.2. Je tento PIN také automaticky přepsán do čipu v bankomatu?

Nikoliv. Je nutné provést změnu PINu v IB a následně synchronizovat v terminálu – bankomatu.

14. Anebo ho musím v IB změnit a pak s kartou do bankomatu?

Ano, je třeba jej změnit a pak aktualizovat např. v bankomatu.

15. A pokud musím PIN změnit, mohu zadat stejný, tedy číselně nezměněný?

Ano, nic nebrání tomu zadat PIN stejný číselně nezměný.

Tomáš Vokroj / mBank webmarketing specialist tomas.vokroj -zavináč- cz.mbank.eu