Τον κώδωνα του κινδύνου από τη χρήση χρεωστικών καρτών με ανέπαφες συναλλαγές έως και 25 ευρώ κρούσει με πρόσφατη απόφαση της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Στην απόφαση (υπ΄αριθμόν 48/2018) η Αρχή επισημαίνει πως η χρήση της νέας κάρτας ανέπαφων συναλλαγών, εγείρει σοβαρούς κινδύνους για τους χρήστες της.
Ταυτόχρονα, απευθύνει αυστηρή σύσταση σε δύο τραπεζικά ιδρύματα, προκειμένου να παρέχουν τη δυνατότητα στους πελάτες τους, είτε απενεργοποίησης της ανέπαφης λειτουργίας είτε τη χορήγηση νέας κάρτας, χωρίς αυτό το χαρακτηριστικό.
Η Αρχή επιλήφθηκε του ζητήματος με αφορμή τις καταγγελίες δύο πολιτών οι οποίες διαβιβάστηκαν ενώπιον της από τη Διεύθυνση Προστασίας του Καταναλωτή του Υπουργείου Οικονομίας, Υποδομών, Ναυτιλίας και Τουρισμού και τον Συνήγορο του Καταναλωτή. Σημειώνεται πως η Αρχή με έγγραφο της ζήτησε πληροφορίες για τις ανέπαφες κάρτες από όλα τα πιστωτικά ιδρύματα της χώρας, πέραν των δύο τα οποία αφορούσαν οι καταγγελίες των πολιτών που έφτασαν ενώπιον της.
Η χρήση των εν λόγω χρεωστικών καρτών εγκυμονεί δύο σοβαρούς κινδύνους:
Πρώτον, εάν η κάρτα έρθει στα χέρια κακόβουλου τρίτου (π.χ. απώλεια από τον κάτοχο της) τότε αυτός θα μπορεί χωρίς την γνώση του PIN να πραγματοποιεί σειρά αγορών, αξίας μέχρι 25 ευρώ έκαστη.
Δεύτερον, δεδομένου ότι μία τέτοια κάρτα μπορεί να εκπέμψει μέσω ραδιοκυμάτων υψηλής συχνότητας, προσωπικά δεδομένα όπως τον αριθμό και την ημερομηνία λήξης της, δίνεται η δυνατότητα σε κάποιον που διαθέτει συσκευή ανάγνωσης αυτών των σημάτων και βρεθεί στην εμβέλεια τους, να τα καταγράψει.
Χαμηλού κόστους λογισμικό χωρίς τα δέοντα μέτρα ασφαλείας
Όπως αναφέρεται στην απόφαση της Αρχής «η καταγραφή αυτή μπορεί να γίνει με κατάλληλο εξοπλισμό που δεν είναι δαπανηρός ή με επίσης χαμηλού κόστους λογισμικό που μπορεί να εγκατασταθεί σε «έξυπνες κινητές συσκευές», προσθέτοντας πως «έχοντας κάποιος κακόβουλος γνώση του αριθμού της κάρτας και της ημερομηνίας λήξης αυτής, μπορεί να επιχειρήσει να πραγματοποιήσει αγορά προϊόντος μέσω Διαδικτύου με χρέωση-πίστωση στον τραπεζικό λογαριασμό με τον οποίο είναι συνδεδεμένη η κάρτα, η αγορά δε αυτή ενδέχεται να ολοκληρωθεί επιτυχώς εφόσον το σχετικό ηλεκτρονικό κατάστημα δεν εφαρμόζει τα δέοντα μέτρα ασφάλειας».
Στις περιπτώσεις που εξέτασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα οι τράπεζες αντικατέστησαν τις χρεωστικές κάρτες των καταγγελλόντων πελατών τους με τις νέες, υποχρεωτικά, χωρίς αναλυτική ενημέρωση για τα επιμέρους χαρακτηριστικά της εν λόγω επεξεργασίας όπως τα ποια δεδομένα μεταδίδονται ανέπαφα ή ποια δεδομένα τηρούνται στο chip της κάρτας.