- 2014. február 3., 13:00
Indulás óta használjuk a rendszert; összeszedtük a tapasztalatainkat és elmondjuk, hogyan működik a MobilTárca.

A Mobiltárca indulásáról júniusban adtunk hírt, a Mobiltárca szövetség ekkor indította hivatalosan is útjára azt a tesztprogramot, amelynek a piaci bevezetést előzi meg. A programban információink szerint több, mint 1000-en vettek (és vesznek) részt aktívan – a kísérleti nyulak között vagyunk mi is, hiszen amint lehetőségünk nyílt rá, azonnal jelentkeztünk a tesztre, hogy a tapasztalatokat első kézből tudjuk megosztani veletek. A rendszer idestova fél éve használjuk, rengeteg tapasztalatot gyűjtöttünk, többnyire pozitív élményekkel. Bár voltak negatívumok is, ezek többsége szerencsére olyan apróság volt, ami vagy nem is a technológiából adódott, vagy ha igen, akkor elvileg egyszerűen javítható. Cikkünkben nemcsak a Mobiltárcával kapcsolatos tapasztalatainkról számolunk be, hanem elmondjuk azt is, hogyan működik maga a rendszer.

Bankkártyától az okostelefonig

Az érintés nélküli fizetés nem új dolog Magyarországon, a MasterCard PayPass és a Visa payWave alapú kártyák segítségével már évek óta lehet fizetni rengeteg terminálnál úgy, hogy a plasztikot egy pillanatra sem kell kiadni a kezünkből, csak hozzá kell érinteni a terminálhoz (sőt igazából a hozzáérintésre sincsen szükség, elvileg az is elég, ha a kártya néhány cm-es távolságba kerül). Az általános szabály szerint 5000 forintig PIN kód megadása nélkül, afölött pedig annak begépelésével lehet fizetni. A dolog kényelmes (adott esetben a kártyát még csak ki sem kell venni a pénztárcából), és mivel egyre több bank veszi fel a kínálatába ezeket a megoldásokat (információnk szerint jelenleg 13 hazai pénzintézetnél van lehetőség érintés nélküli fizetésre is alkalmas kártyát/matricát kérni), azt szűrhetjük le hogy az ilyesfajta fizetés a felhasználók körében is népszerű. De hogyan működik a technológia?

Mielőtt ezt megnéznénk, villámgyorsan nézzük meg, hogyan működnek a bankkártyák általánosságban. Az Európai Unióban, így Magyarországon is csak olyan kártyákat lehet forgalomba hozni, amelyek chipet is tartalmaznak, így a fizetéshez szükséges információk a kártyán lévő mágnes csíkon illetve a chipben is megtalálhatók. Az EU azért követeli meg a chip beépítését, mert annak használatával jóval biztonságosabban lehet fizetni: a chip tulajdonképpen egy apró számítógép, amely a rajta lévő információkat kódolva tárolja és csak a PIN kód helyes beírása után továbbítja az információkat. A kártya ellopása és/vagy az adatok lemásolása elvileg nem ér semmit, ugyanis PIN kód nélkül nem lehet használni azokat. Az ördög ugyanakkor ott lapul a részletekben; a chipes kártyák ugyanis, bizonyos összeghatárig szintén használhatók kód nélkül, sőt, akár offline, banki kapcsolat nélkül is (a terminál üzemeltetője dönti el, hogy ezeket a funkciókat engedélyezi-e vagy sem). A nagyobb kockázatot viszont az rejti, hogy ezeken a kártyákon is van mágnescsík, amely érdemi védelem nélkül tárolja azokat az adatokat, amelyek a banki tranzakciók hitelesítéséhez szükségesek. A lopott kártyákkal való visszaélés megelőzése érdekében a chipes kártyákat is fogadó termináloknál nem lehet a kártya lehúzásával fizetni, ugyanakkor ha egy adott terminál nem kezeli a chipeket, akkor minden további nélkül működik a dolog így is – ilyenkor (vagy, ha a chip mellé nem kell PIN-kód), aláírással kell igazolni magunkat, valamint a terminál üzemeltetője kérhet valamilyen azonosító okmányt is. Külföldi látogatásaink alkalmával ez utóbbi rendre meg is szokott történni, idehaza azonban szinte sosem.

MasterCard PayPass, Visa payWave

Az érintés nélküli fizetésre alkalmas kártyák (Visa payWave, MasterCard Paypass) a chipes kártyák egy speciális verziói, amelyeknél a chip kiegészül egy antennával, hogy a chipen tárolt adatokat vezeték nélküli is tudja továbbítani a terminál felé – az ilyen megoldások azonban biztonsági okokból nagyon rövid hatótávolsággal működnek, legfeljebb 5 cm-es távolság áthidalására képesek. Az érintésmentes fizetés szinte majdnem teljesen pontosan úgy működik, mintha egy chipes kártyát használnánk, két fontos eltérés azonban van. Az egyik az, hogy a kártyát nem kell kiadni a kezünkből, a másik pedig az, hogy az alacsony összegű tranzakciókhoz PIN kód megadásra nem szükséges – a limit Magyarországon 5000 forint.

A vezeték nélküli fizetést alapvetően kényelmi szempontok miatt fejlesztették ki a kártyakibocsátó társaságok, mégpedig azért, hogy a bankkártyát az olyan nagy forgalmú helyeken is gyorsan és pörgősen lehessen használni, mint jegykiadó automaták. A vezeték nélküli fizetés érdekessége, hogy offline, azaz banki kapcsolat nélkül is működtethető, vagyis a terminál üzemeltetője megteheti azt is, hogy fizetéskor csak a fizetéshez használatos adatokat tárolja el, a nap folyamán felgyülemlett tranzakciókat pedig a nap végén egyszerre, a banki zárás után hajtja végre (amit onnan lehet tudni, hogy a napközbeni vásárlásról csak estre/éjjel érkezik meg a visszaigazoló SMS). Ebben nyilván van némi kockázat, hiszen fizetéskor a terminál nem tudja ellenőrizni, hogy van-e fedezet – de éppen ezért vezették be azt, hogy az offline fizetés csak alacsony összeghatárnál választható (de, ahogyan fentebb is említettük, akár teljesen ki is kapcsolható).

NFC

A mobiltelefonokban (itt még szándékosan nem okostelefont írtunk) lévő NFC chip ugyanazt a célt szolgálja, mint az érintés nélküli fizetésre alkalmas bankkártyáknál esetében a chipen lévő antenna: rövid hatótávolságú kommunikációra teszi alkalmassá a mobiltelefont. Mindkét esetben (a bankkártyáknál és az NFC-s telefonoknál is) az RFID chipekére nagyon hasonlító megoldással állunk szemben; kis mennyiségű adat továbbítására alkalmas rendszerekről van szó, amelyek csak akkor működnek, ha nagyon közel van egymáshoz az adatot átadó és fogadó fél). A bankkártyáknál használt megoldás és a telefonokba szerelt NFC chip működése között azonban lényegi eltérések is vannak; cikkünk szempontjából a legfontosabb az, hogy az NFC chipben lévő információ programozható, valamint az NFC nemcsak egyirányú kommunikációra, azaz adattovábbításra képes, hanem adatok fogadására is. Kicsit leegyszerűsítve a dolgot: az NFC chip „felprogramozható” úgy, hogy pontosan azokat az adatokat tárolja, mint mondjuk egy PayPass bankkártya, így a telefont a PayPass funkcióval rendelkező bankkártya helyett (azzal tökéletesen megegyező módon) fizetésre is használhatjuk, de a mobil képes fogadó félként, akár terminálként is viselkedni.

Mivel az NFC chip programozható, ezért a telefont nemcsak bankkártyaként lehet használni, hanem gyakorlatilag bármilyen más kártya kiváltására is, például céges belépési azonosítók, hűségkártyák, jegyek, bérletek, stb. kiváltásra. Gyakorlati szempontból itt jön képbe a kétirányú kommunikáció fontossága: a terminál nemcsak azt tudja jelezni az NFC chipnek (telefonnak), hogy adatra vár, hanem azt is, hogy milyen adatra – vagyis lényegében a terminál meg tudja mondani a telefonnak, hogy milyen típusú kártya adatait szeretné lekérni.

Mennyire biztonságos az NFC?

Az NFC-vel kapcsolatban, mivel a technológiát sok mindenre, többek között fizetésre is lehet használni, az első és legfontosabb kérdés talán az, hogy mennyire biztonságos. Nos, a válasz az, hogy önmagában semennyire, viszont azzá tehető. Minden attól függ, hogy a technológiát mire használjuk, meg persze attól is, hogy mihez viszonyítunk.

Két NFC-képes mobiltelefon között például egyszerűen cserélhetünk képeket az NFC technológia segítségével, egyes hirdetéseknél pedig arra van lehetőség, hogy a mobilt a plakát egy bizonyos részéhez érintve további információkat szerezzünk a termékről. Ilyen környezetben nincsen szükség arra, hogy az információ titkosított, mások által hozzáférhetetlen legyen. Ha viszont bankkártyaként használnánk a telefont, akkor alapfeltétel, hogy a fizetés során használatos adatokat csak és kizárólag a tranzakcióban érintett felek férhessenek hozzá. Ehhez alapvetően egy hitelesítést végző háttérrendszerre és speciális SIM-re van szükség – rögtön rátérünk arra, hogy a Mobiltárca esetén pontosan hogyan is működik a fizetési folyamat.

Az NFC-vel kapcsolatban azonban más aggályok is felmerülnek; például az, hogy nem fordulhat-e elő olyan eset, hogy a metrón a zsebben elhelyezett telefonról egyszerűen lelopják a bankkártya adatokat. A válasz az, hogy nem. Egyrészt az NFC-ben lévő apró méretű ROM alapesetben üres, másrészt az NFC chip csak és kizárólag akkor aktív, ha a mobilt feloldottuk – egy androidos telefont alapul véve ez azt jelenti, hogy a lezáró képernyőn (is) túl kell jutni, ha fizetni szeretnénk a telefonba épített chip segítségével. Emellett a fizetésben segédkező alkalmazásban is vannak a biztonságot növelő opciók, igaz, ezek többnyire a kényelem rovására mennek – letilthatjuk például az automatikus fizetést, így csak akkor lehet fizetni a mobillal, ha előtte belépünk a szoftverbe, amihez pedig jelszó megadása szükséges.

Ugyanakkor azt érdemes figyelembe venni, hogy az NFC alapú fizetés folyamata egyezik az érintés nélküli fizetést lehetővé tevő bankkártya használatával, és mivel a telefonban nincsen mágnescsík, ezért a chip nem kerülhető ki. Ha így nézzük, akkor az NFC biztonságosabb, mint egy bankkártya. Hasonlóképpen, az ellopott pénztárcában lévő kártyával könnyebb fizetni (alacsony összegű tranzakciókat végrehajtva, PIN kód nélkül), mint a telefonnal. Egyrészt maga a mobil is védhető kóddal, amit ha megteszünk, a tolvaj nem tudja feloldani a készüléket, és az NFC egyáltalán nem működik. Másrészt egyelőre ez a technológia még nem annyira elterjedt, így aki telefont lop, az nem is feltétlenül fog arra gondolni, hogy a mobillal akár fizetni is lehet. Ráadásul az ellopott telefon esetében sokkal egyszerűbb a kártya vagy kártyák letiltása, elég csak a SIM-et letiltani a szolgáltatónál, és minden virtuális kártya „megy a levesbe”.