Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 17. september 2004.
Banker, der ikke har investeret i chipteknologi
inden 1. januar 2005, hænger på regningen ved svindel. Det er konsekvensen af regelsæt fra Visa og MasterCard. Et regelsæt, der driver den
massive udrulning af chipkortteknologi, ikke
bare i Danmark, men over hele Europa.
Det ny dankort
Ud af cirka 500 millioner dankorttransaktioner med det traditionelle, magnetstribe-baserede dankort, blev der i 2003 blot anmeldt 1.100 tilfælde af svindel.
Nu er de nye, sikre, chipbaserede kort kommet. Men rejsende kommer hjem fra ferie, hvor kortet ikke virkede, vores billeder, og dermed identifikationsmulighed forsvinder, og flere steder i landets butikker kan man ikke bruge chipkortets funktion, fordi betalingsterminalerne ikke er klar. Så hvis svindel med Dankort aldrig var et stort problem i Danmark, og der tydeligvis er bøvl med udstyret til de nye kort, hvorfor er det så så vigtigt, at nye betalingskort skal være udrullet 1. januar 2005, kunne man spørge.
Forklaringen ligger ikke i et politisk forlig eller bankernes ønske om at kunne kræve 50 øre pr. transaktion på de nye kort. Forklaringen skal derimod findes i et nyt regelsæt, udstedt af store betalingskortselskaber som Visa og MasterCard. Et regelsæt, der i disse dage driver ikke bare Danmark, men hele Europa, mod en integration af chipkortteknologien ind vores betalingssystemer, og som træder i kraft den 1 januar 2005.
De nye regler handler om ansvar, nærmere bestemt: Hvem der skal stå med den endelige regning, når der svindles med betalingskort.
Kortselskaberne stiftede i 1999 EMVco. EMV står for Europay, MasterCard, Visa, og EMVco er navnet på deres fælles standardiseringssamarbejde.
Formålet er at håndtere, vedligeholde og udbrede selskabernes fællesstandard for chipbaserede betalingskort og relaterede systemer, og at sikre at systemer og kort kan tale sammen over hele verden. Det stod klart for betalingskortselskaberne, at svindlen med de magnetbaserede betalingskort steg ukontrolleret. Specielt lande som England, hvor pinkode princippet ikke var indført, var hårdt ramt, og løsningen på problemet lå i de nye chipkort. Kortselskaberne ønskede en fælles standard og platform internationalt, og ikke, som tilfældet i Frankrig, at individuelle lande opfandt egne standarder for chipkortet. Det er imidlertid ikke gratis at skifte samtlige betalingskort i Europa ud med en chipbaseret model, for ikke at tale om softwareopgraderinger og udskiftning af terminaler.
I Danmark estimeres det, at udrulningen af de nye dankort og terminaler alene vil løbe op i flere hundrede millioner kroner. Så udfordringen for kortselskaberne har været at få opbakning fra de forskellige landes banker og butikker, som i sidste ende skal samle regningen for projektet op. Det er her, datoen 1. januar 2005 for alvor kommer i spil.
- Chipkortet har været år undervejs, og man har fra kortselskabernes side hele tiden forsøgt at få international tilslutning til teknologien ved hjælp af forskellige incitamenter, herunder 2005-deadlinen og det ansvarsskift, som følger, siger Jørgen Brinch, produktchef hos Dankort A/S.
Med deadlinen følger nye spilleregler, der kan koges ned til en hård realitet: Den part, der ikke har investeret i chipteknologi, bærer ansvaret ved en falsk transaktion.
Smykkebutikken
Med magnetstribekortene er det banken, der havde udstedt kortet, der hænger på regningen, hvis kortet bliver misbrugt.
Med det nye chipkort flyttes ansvaret over til de banker og butikker, der ikke har investeret i chipkortteknologi, som udsteder kort uden chip eller ikke har terminaler, der kan læse kortene.
Jørgen Brinch giver et eksempel.
- Dit Visa-kort bliver kopieret i Spanien og misbrugt i en smykkebutik. Hvis kortet var baseret på magnetstribe, skulle din bank betale. Var det et chipkort, som ikke kunne læses via chippen på grund af manglende terminal i butikken, ville det være smykkebutikken og butikkens bank, der skulle kompensere for svindlen, siger Jørgen Brinch.
Hvem betaler
Der er stor forskel på, hvordan man deler ansvaret mellem forretning og banker i de forskellige europæiske lande. En række forskellige faktorer - som hvilken type terminal butikken har stående, om det er en online eller offline model, og hvor meget butikken betaler pr. transaktion - har alt sammen indflydelse på, hvor meget butikken dækker, og hvad banken betaler.
I Danmark dækker kortudstederen 3.000 kroner i en pinkode-terminal til magnetstriber, resten skal forretningen dække. Investerer forretningerne i chipkort-terminaler, stiger det beløb, som bankerne vil dække, til 4.000 kroner.
Det er et af incitamenterne for forretningen til at foretage den investering på 4.000-7.000 kroner pr. terminal, det koster at udskifte terminalerne. Et andet er, at dækningen for betalinger via de såkaldte fluesmækkere ventes at falde væk enten pr. 1. januar 2005 eller i 2006.
Det er stærke incitamenter for en hurtig udrulning af chipkortteknologi - specielt for bankerne.
- Svindel med Dankort har aldrig været et stort problem på grund af vores pinkode-struktur, men alligevel er Danmark nødt til at følge med resten af Europa, hvis de danske butikker og bankerne ikke ønsker at være dem, der hænger på regningen ved svindel. Ideen er, at alle vinder på at indføre de her systemer. Hvis alle parter har investeret i teknologien, vil svindlen mindskes, fordi det ikke er muligt at kopiere chippen, siger Jørgen Brinch.
Ikke alle bliver klar
Ifølge Jørgen Brinch gælder de nye regler foreløbig kun i Europa. MasterCard og Visa er opdelt i regioner, og f.eks. i USA forholder man sig afventende. Hos Sagem, der producerer terminaler til chipkortene, understreger man, at der er stor forskel på, hvor langt man er nået i de forskellige lande.
- Der er et meget fragmenteret billede i Europa i forhold til udrulningen, og der er flere lande, hvor det kommer til at tage længere tid at blive klar, siger salgschef Søren Ohlsen.
Blandt andet i Norge og Spanien er chipkortprojektet stadig kun på pilotforsøgs-niveau.
boks:
2006
Ingen regel uden en dansk undtagelse. 1. januar 2005 er datoen for ansvarsskift i forbindelse med svindel med internationale betalingskort. Men for de nye dankort hedder skilledatoen 1. januar 2006. Årsagen er, at flere af terminalerne endnu ikke er certificerede.
