Eltein Lab

Electrónica, Informática, Telecomunicaciones

Identificación en los pagos con tarjeta

Un buen artículo sobre la identificación en el pago con tarjeta en Security By Default que copio a continuación:

——————————————————–

Si digo que el fraude con tarjetas de crédito está a la orden del día, no creo que le cuente a alguien nada nuevo. Sin embargo, muchas veces nos resulta molesto cierto tipo de medidas que se toman para evitar que den lugar a efectos colaterales. Existe la creencia popular de que las únicas personas con autoridad para pedirnos nuestra identificación son los miembros de los Cuerpos y Fuerzas de Seguridad del Estado. Esto es 100% cierto; sin embargo, cuando queremos efectuar un pago con tarjeta físicamente, se nos exige una identificación mediante un documento oficial (en general, sólo es válido el DNI) argumentando que es por nuestra propia seguridad (en realidad si un pago se realiza en un establecimiento y el dueño de la tarjeta denuncia el mismo, quien asume el coste es el establecimiento).

Una de las cosas que realmente sí son por mi seguridad, y que sí que me debería preocupar, es el saber qué hace el camarero con mi tarjeta cuando desaparece y vuelve con un papelito enrrollado para que lo firme. Es decir, el DNI me lo pides para cubrirte tú, pero, ¿quién me cubre a mí que no clonas mi tarjeta cuando la pierdo de vista? Quizá la medida de las tarjetas con chip EMV que obligan al camarero a traer un lector especial que requieran un PIN para poder efectuar el pago solucionen el problema en algunas ocasiones, pero mientras siga siendo híbrida (teniendo banda magnética y chip) de poco valdrá. Esto lo comprobé esta semana en una conocida cadena de restaurantes de comida rápida: el camarero (que apenas entendía español) pidió mi DNI, hizo como que comprobaba que coincidían los nombres de ambos plásticos, se llevó la tarjeta y la pasó por el lector (esta vez se veía más o menos desde mi posición), me trajo el recibo a firmar, yo lo firmé con una firma que era la primera vez que hacía, no comprobó que la firma coincidía ni con la de la tarjeta (que no la tengo firmada) ni con la del DNI y se fue más que contento.

Entonces ¿Cuánto hay de cierto en la obligación de presentar el DNI? He buscado en google un contrato de solicitud de tarjeta de crédito (por ejemplo éste). Buscando en las condiciones que uno mismo firma en el contrato se indica claramente:

5.1 – El usuario deberá firmar la Tarjeta en el espacio destinado a tal fin, tan pronto como la reciba así como acreditar su identidad cuando sea requerido para ello por el tercero ante quien pretenda hacer uso de la Tarjeta mediante exhibición del Documento Nacional de Identidad, cuando así se solicite, o mediante otros sistemas de identificación o claves que previamente le haya notificado Iberia Cards.

Parece claro entonces que cuando queramos realizar un pago con tarjeta, si nos piden que nos identifiquemos, hemos aceptado y firmado en un contrato de solicitud que lo haremos.

Pero, ¿qué sucede con las compras online? Nadie nos exige nada. Se pueden hacer cargos a una tarjeta de crédito robada desde Internet de una forma libre, de manera que nuestro único amparo sea la ley (y los seguros anti-fraude de las entidades de las tarjetas de crédito), siempre y cuando el fraude se cometa desde un país con relativos medios.

Cuando la compra online involucra unos billetes de avión o la reserva de un hotel por ejemplo, se nos exige además que introduzcamos la fecha de caducidad y el código CVV de la tarjeta. Si alguien comprometiera el servidor de transacciones de la tienda online, se contaría con el conjunto de datos completo para llevar a cabo cuantas compras se deseen (o al menos cargos indebidos).

Pongamos un ejemplo práctico de NO autenticación en servicios online y SÍ en compras físicas. Como tantos viernes, se nos ocurre a Yago y a mí quedar para ir al cine. Al llegar a la taquilla, y pagar con tarjeta, se nos exigirá presentar el DNI del titular. ¿Qué potestad tiene la alegre taquillera para exigirme la identificación? En cambio, si Yago o yo fuéramos previsores y las compráramos/reserváramos a través de Internet, llegaríamos con toda tranquilidad al cajero automático de reservas que está a la vuelta de la taquilla y, al insertar la misma, las entradas se imprimirán sin necesidad de identificaciones previas. En ninguno de los dos casos hemos cometido fraude, sino que hemos realizado una compra usando nuestra tarjeta, en un caso siendo requerida una autenticación con un documento oficial, y en el otro caso, simplemente la posesión de la tarjeta (que podía haber sido robada y no denunciada perfectamente).

Supongo que la integración de una identificación electrónica (en España el DNI-E) aún no ha calado lo suficiente en el comercio, y sus capacidades y usos actuales están aún muy verdes de implementar. La utilización de este tipo de autenticación podría llevar asociada un mecanismo de pago a una cuenta bancaria que realmente permita asegurar que la persona que realiza la reserva, compra, o recepción de un pedido es quien dice ser (o al menos de pistas claras y no repudiables de ello). El problema es la internacionalidad de este tipo de pagos; y es que crear una PKI o una identidad digital única y válida en todo el Mundo sería demasiado complicado e inmantenible al menos para esta década. Veremos en la siguiente!

————————————————————————-

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Información

Esta entrada fue publicada el enero 20, 2010 por en Datáfonos, Medios de Pago.
A %d blogueros les gusta esto: