Der er tale om falsk tryghed, når PBS siden marts i år har hævdet, at forbrugernes sikkerhed ved handel på nettet er blevet større. I marts sørgede PBS for, at der også skal indtastes kontrolcifre, når man bruger sit betalingskort på nettet.
De tre kontrolcifre, som står trykt på betalingskort som Dankort og Visa-kort, skal supplere kortnummeret og udløbsdatoen, som fremgår af kortets forside, og som står på mange kvitteringer. Det gjorde misbrug til en simpel sag.
Men PBS kræver ikke, at kontrolcifrene bliver brugt. Selv om de udelades eller erstattes af mellemrum, godkender PBS transaktionen. Indtastes derimod forkerte kontrolcifre, bliver betalingen afvist.
Dermed er kortnummer og udløbsdato stadig tilstrækkelige data for forbrydere, der ønsker at misbruge andres betalingskort på nettet.
? Det smarte ved kontrolcifre er ellers, at de kun står på kreditkortet, men ikke på notaer eller boner, siger Ruvan Fernando, der er seniorudvikler i firmaet Juul & Stejle.
PBS tjekker ikke
Hans selskab opdagede PBS?s manglende brug af kontrolcifrene under udviklingen af et nyt betalingssystem. For at teste systemet, undlod en af medarbejderne at indtaste kontrolcifrene, og til sin store overraskelse fandt han ud af, at PBS alligevel gennemførte transaktionen.
? PBS burde tjekke, om et kort har de tre kontrolcifre, men det gør de ikke. Mange websteder forhindrer det med noget javascript i browseren, der gør, at man er nødt til at indtaste kontrolcifrene. Hvis man så indtaster forkerte kontrolcifre, nægter PBS at godkende transaktionen, men hvis man bare sender blanke kontrolcifre, så ryger det lige igennem, fortæller Ruvan Fernando.
Computerworld Online har efter hans henvendelse selv afprøvet det hos mobilselskabet Telmore, som står for over en tredjedel af alle Dankort-transaktioner på internet. 100 kroner blev sat ind på en taletidskonto ved at indtaste tre mellemrum i stedet for de kontrolcifre, som står bag på det brugte Visa/Dankort. Det irriterer Telmores marketingdirektør, Kenneth Bøje.
? Vi er kun interesseret i, at sikkerheden er så høj som mulig for at gøre brugerne trygge, og derfor undrer det os, at kontrolcifrene ikke bliver brugt til noget. Det giver ikke den ekstra sikkerhed, som vi havde regnet med. Det synes vi er meget uheldigt, siger Kenneth Bøje.
? Det er ikke smart, at brugerne skal til at udfylde ekstra felter, som er unødvendige, tilføjer marketingdirektøren.
Telmore kan ikke fjerne indtastningen af kontrolcifrene, fordi det er et krav fra PBS, at de skal være på siden.
Mulighed, ikke krav
Hos PBS fortæller kommunikationschef Pernille Kylling, at det ikke er nødvendigt at indtaste kontrolcifre, fordi nogle internationale kortudstedere ikke understøtter brugen.
? Hvis man indtaster sine kontrolcifre, bliver de tjekket, men hvis man undlader at indtaste dem, så bliver transaktionen gennemført alligevel. Det skyldes, at ikke alle kortudbydere understøtter valideringen af kontrolcifre, siger hun til Computerworld Online.
Det står i kontrast til blandt andet den pressemeddelelse, som PBS udsendte i marts. "Fra 1. april 2002 bliver det obligatorisk at bruge kontrolcifre ved køb med betalingskort på internettet" og "har kortindehaveren kontrolcifre på kortet, skal de fremover opgives," skrev PBS blandt andet.
De formuleringer vil Pernille Kylling ikke længere stå ved.
? Det er en mulighed, brugerne har, ikke et krav. Det obligatoriske består i, at det er obligatorisk for forretningen at tilbyde kortholderen at indtaste kontrolcifre, men forretningerne kan så selv bestemme, hvor hårdt de vil håndhæve det. Det er en funktion, der er sat i værk for forretningens skyld, ikke forbrugerens, siger hun.
Hvilken ekstra sikkerhed giver kontrolcifre for forbrugeren?
- Forbrugeren sender et signal til forretningen om, at vedkommende sidder med betalingskortet i hånden, siger PBS' kommunikationschef.
