Setelah Pergeseran EMV, Kartu Kredit Tetap Tidak Seaman Mungkin

Sudah lebih dari enam bulan sejak aturan seputar penipuan kartu kredit berubah, mendorong pergeseran dari kartu kredit bermagnet lama ke kartu yang disematkan chip EMV. Tetapi hanya 20% dari terminal kartu kredit di AS yang telah diaktifkan untuk penggunaan chip hingga April 2016, menurut Mercator Advisory Group. Dan hanya 60% dari semua kartu kredit telah diperbarui dengan chip.

Namun demikian, Anda mungkin telah melalui proses baru menempel kartu chip Anda di pembaca, menunggu transaksi untuk diverifikasi, dan di-bunyikan oleh mesin jika Anda meninggalkan kartu Anda terlalu lama.

Proses ini telah dipromosikan secara besar-besaran karena lebih memperhatikan data Anda. Tetapi itu mungkin tidak seaman transaksi EMV. Dan ada bar yang cukup rendah untuk seberapa aman apa saja Transaksi EMV bisa. Bagian dari itu adalah batas teknologi, dan bagian adalah realitas perilaku manusia.

Perilaku konsumen sebagai titik menempel

Beberapa hambatan dalam transisi EMV telah banyak dicatat. Untuk satu hal, transaksi bisa lambat. Untuk yang lain, Anda masih memverifikasi identitas Anda dengan cara lama, dengan menandatangani nama Anda - dan untuk transaksi yang lebih kecil, Anda bahkan tidak perlu melakukan itu.

“Transaksi akan memakan waktu lebih lama di jalur kasir toko yang memerlukan kartu chip untuk dicelupkan ke pembaca kartu chip mereka - setidaknya untuk jangka pendek, karena pedagang belajar mempercepat proses,” kata Brian Krebs, seorang jurnalis dan keamanan ahli di Krebs tentang Keamanan. "Juga, mungkin lebih banyak orang akan meninggalkan kartu mereka di dalam mesin dan meningkatkan kehilangan kartu [yang hilang dan dicuri] untuk bank, setidaknya dalam waktu dekat sampai konsumen terbiasa dengan perangkat."

Di Eropa, konsumen telah menggunakan kartu kredit yang terpotong selama bertahun-tahun - dalam beberapa kasus. Tetapi untuk keamanan tambahan, kartu tersebut mengharuskan pemegang kartu memasukkan kode PIN untuk memverifikasi identitas mereka selama transaksi. Jadi mengapa AS tidak mengadopsi sistem chip-dan-PIN, bukan chip-and-signature? Faktor utama adalah pengakuan penerbit tentang betapa sulitnya memaksa perubahan perilaku konsumen.

"KAMI. konsumen tidak terbiasa memasukkan PIN dengan transaksi kartu kredit, ”kata Julie Conroy, direktur riset di Aite Group di Massachusetts. “Banyak emiten yang saya ajak bicara dengan chip-dan-tanda tangan terpilih karena tidak ada penerbit yang ingin menerbitkan kartu yang pengalaman penggunanya menempatkannya pada posisi yang tidak menguntungkan. Dalam kata-kata dari satu penerbit, mengajar konsumen untuk mencelupkan bukannya menggesek sudah cukup berubah; mereka tidak ingin mengambil risiko harus mengajar konsumen untuk mengubah dua perilaku pada saat yang sama. ”

Upaya untuk menghentikan penipuan

Mengapa konsumen AS mengubah apa pun? Alasan utamanya adalah penipuan.

Pada tahun 2014, lebih dari $ 16 miliar hilang dalam penipuan kartu kredit di seluruh dunia, menurut The Nilson Report, yang mencakup industri pembayaran. Kerugiannya, 48% terjadi di AS. Kartu strip magnetik tradisional lebih mudah untuk diretas, karena informasi yang disimpan di strip itu statis, atau tidak berubah. Salin sekali, dan Anda dapat membuat kartu duplikat. Namun, chip EMV menghasilkan kode unik untuk setiap transaksi, sehingga informasi yang disalin dari satu transaksi tidak dapat digunakan di transaksi lain.

"KAMI. sebagian besar konsumen terlindung dari penipuan [biaya langsung kartu kredit], berkat lingkungan peraturan AS dan jaminan kewajiban nol yang disediakan jaringan pembayaran, ”kata Conroy. Pergeseran ke EMV, kemudian, benar-benar lebih tentang melindungi penerbit kartu kredit dari kerugian penipuan daripada melindungi konsumen.

Oktober 2015 melihat pengenalan aturan baru tentang kewajiban untuk penipuan kartu kredit. Jika penipuan terjadi, pihak mana pun yang tidak menggunakan teknologi EMV bertanggung jawab atas kerugian tersebut. Jika kartu yang dimaksud tidak EMV-terkelupas, kewajibannya ada pada penerbit. Jika pedagang tidak memiliki pembaca chip EMV, maka pedagang memikul tanggung jawab. Kewajiban juga bisa dibagi.

PIN hanya menawarkan perlindungan terbatas

Apa yang tidak memperhitungkan persamaan kewajiban adalah apakah kartu chip bergantung pada PIN atau tanda tangan untuk verifikasi. Dan kenyataannya adalah bahwa sebagian besar penipuan kartu kredit bahkan tidak akan dicegah dengan chip-dan-PIN.

"Chip-and-PIN melindungi terhadap penipuan yang hilang dan dicuri - yaitu, jika seseorang mencuri dompet Anda, mereka tidak dapat dengan mudah mengambil kartu Anda pada belanja," kata Conroy. Jenis penipuan itu sangat kecil dibandingkan dengan penipuan kartu kredit umum, kata Conroy.

Selain itu, pencuri akan selalu menemukan cara keamanan. "Kami telah melihat, berdasarkan contoh dari negara lain, bahwa penjahat sudah cukup mahir dalam menangkap PIN, baik melalui serangan skimming, selancar bahu atau kamera pinpoint," kata Conroy. Karena PIN tidak berubah dengan setiap pembelian, Conroy mengatakan bahwa "memiliki batas dalam hal kemampuannya untuk secara efektif memerangi penipuan. Ketika Inggris pergi ke chip-and-PIN, penipuan yang hilang dan dicuri dicelupkan sebentar tetapi dalam beberapa tahun kembali ke tingkat pra-PIN. ”

Chip EMV juga tidak memiliki peran dalam transaksi online, sehingga kartu chip sama rentannya dengan kartu magnetik.

Apakah ada cara yang lebih aman?

Conroy mengatakan chip-dan-PIN terbaik memperbaiki jangka pendek.“Idealnya, saya ingin melihat PIN lompatan industri dan pindah ke bentuk verifikasi lain, seperti biometrik, verifikasi seluler, dll.,” Katanya. "Dalam prosesnya, kami juga harus menghapus tanda tangan - itu mahal bagi pedagang untuk disimpan dan tidak berguna sebagai metode otentikasi pelanggan seperti yang diterapkan saat ini."

Krebs menyarankan menggunakan "token" sebagai cara untuk memerangi penipuan. Dengan tokenization, komputer pedagang tidak menyimpan data kartu kredit sama sekali. Sebagai gantinya, mereka menyimpan nomor placeholder, atau token, yang dapat digunakan untuk mengambil data dari penerbit.

"Tokenisasi dapat membantu pedagang menghindari menyimpan data kartu untuk waktu yang lama dan dalam proses mengurangi kemungkinan bahwa cybercrooks akan menargetkan mereka untuk data kartu," katanya. Tokenisasi akan mengurangi ancaman dari pelanggaran data, yaitu bagaimana sebagian besar konsumen menjadi korban penipuan kartu kredit.

Solusi seluler memiliki keterbatasannya sendiri

Pembayaran mobile dan dompet digital seperti Apple Pay dapat memberikan alternatif. Tapi Conroy mengatakan, "Sementara beberapa implementasi pembayaran seluler khusus pedagang melihat sukses besar - Starbucks, untuk satu - adopsi pembayaran seluler loop terbuka - Apple Pay, Android Pay - bergerak jauh lebih lambat."

Krebs melihat risiko keamanan untuk pembayaran seluler juga. “Apple Pay menggunakan bentuk tokenization, tetapi masalah di masa lalu dengan Apple Pay berasal dari prosedur pendaftaran yang longgar di bank dan ketergantungan pada elemen data statis [seperti nomor Jaminan Sosial atau tanggal lahir] untuk otentikasi ketika elemen data ini secara luas dikompromikan dan dijual hanya untuk semua orang Amerika. ”

Satu hal yang akan tetap mobile kemungkinan adalah kartu di dompet Anda. “Konsumen sangat nyaman bertransaksi dengan kartu,” kata Conroy, “dan mengubah perilaku konsumen itu sulit, jadi kartu akan bersama kami untuk beberapa waktu mendatang.”

Ellen Cannon adalah penulis staf di Investmentmatome, situs web keuangan pribadi. Email: [email protected]. Twitter: @ellencannon.