Когда 1 апреля более 7000 жителей Эстонии получили сообщение от Swedbank о блокировке их кредитных карточек, многие поначалу решили, что их разыгрывают. Позже выяснилось, что это не шутка. Дело в том, что с некоторых счетов исчезли деньги, а потому банк пошел на беспрецедентный шаг и закрыл все карты старого образца: без чипа. Но еще больше удивились клиенты банка, когда пришли получать новые карточки.
«Открываю конверт, чтобы узнать ПИН-код, и не верю своим глазам. Где-то с полгода назад я решил поменять комбинацию назначенных банком цифр. Новый код придумал сам, менял тоже собственноручно, не ставя никого в известность. А тут, достаю бумажку и вижу те же самые цифры», – рассказывал о втором преподнесенном банком сюрпризе один из читателей «Дня за Днем».
Что скрыто от работника, известно машине
Банки все время говорят о том, что ПИН-коды им не известны и отказываются называть комбинацию даже тогда, когда ее владелец слезно просит не менять карту, а просто напомнить случайно забытые цифры. Признаться, история читателя взволновала и нас. Во-первых, она ставит под сомнение полную конфиденциальность электронных «ключей» к нашим деньгам, а во-вторых, не совсем понятно, зачем настаивать на собственном неведении, если на самом деле цифры известны и их даже печатают на бумаге?
«Прежде всего хочу заверить вас, что ни один человек в банке не знает ПИН-код карты клиента и никак не может его узнать. Безусловно, у нас есть информация о ПИН-кодах, но в зашифрованном виде, – пояснил нам пресс-секретарь Swedbank Март Сийливаск и привел пример: – Если человек идет в магазин и платит карточкой, то вводит свой ПИН-код, соответствие которого проверяет машина. Причем, делает она это не через карточку, а направляя запрос в банк. То есть, информация поступает к нам и от нас уходит обратно в машину, которая подтверждает, что ПИН-код карточки, соответствует ПИН-коду, имеющемуся в банке в зашифрованном виде».
Сийливаск пояснил, что обычно, когда банк обновляет карточку, прежний ПИН-код сохраняется: «Как правило, в такой ситуации конверт с картой уже не выдается, поскольку считается, что клиент и так помнит свой код. В данном случае меняли карточки без чипов, при использовании которых клиент не вводил код, а заверял покупку своей подписью. На новых картах появился чип, теперь нужно набирать ПИН, поэтому людям и выдавался конверт с теми же цифрами».
Недосягаемые четыре звездочки
Как рождается на свет конверт с ПИН-кодом? Печатает его человек или машина?
«Сами конверты готовит машина, и человек никак не может вмешаться в процесс. Если клиент сам меняет свой ПИН-код, то информация меняется и в инфосистеме банка. Если человек обновляет карту, то машина автоматически берет информацию из базы данных и генерирует выбранный человеком ПИН-код, распечатывая его в конверт», – разъяснил суть технического процесса Сийливаск.
Заодно Сийливаск объяснил, что при потере или краже карточки всегда выдается новый ПИН-код. С новой картой новые цифры получает и тот, кого прийти в банк вынудила забывчивость – заветные четыре цифры вылетели из готовы. Все дело в том, что в целях безопасности такие данные не восстанавливаются, а, напротив, удаляются из системы. Проще создать все заново, чем потом решать вопрос, куда делись деньги со счета и кто компенсирует утраченное.
А вот представитель другого популярного банка – SEB, руководитель технологического отдела Таммо Отсасоо, сказал, что даже при получении новейшей карточки человек может обнаружить в конверте свой старый ПИН-код. Во всем виновата теория вероятности.
100 владельцев карточек с одинаковыми ПИН-кодами
«Поскольку ПИН-коды состоят из четырех цифр, то из них можно создать 10 тысяч различных комбинаций. Если учесть, что в Эстонии около одного миллиона карточек, можно предположить, что одинаковые ПИН-коды могут оказаться примерно у ста человек. Впрочем, вероятность того, что человек получит в банке тот же ПИН-код, который он когда-то выдумал сам, равна 1:10 000. Это даже больше, чем вероятность выиграть в лотерею», – отметил представитель банка SEB.
На самом деле, считает он, ПИН-код – это настолько личная тема, что никто другой просто не должен ничего о ней знать. Все банковские системы, которые занимаются ПИН-кодами, созданы так, что в то время как сам человек видит комбинацию цифр, эта информация не должна нигде фиксироваться. Используются самые жесткие методы защиты, которые никому не позволяют получить информацию о ПИН-коде. Также в банке нет ни одного человека, который мог бы самостоятельно это выяснить.
«Однако надо честно признать, что у банка все же имеется информация о ПИН-кодах, но она хранится „в разных корзинах“ и серьезно защищена. За применением таких защитных систем очень внимательно следят международные аудиторы», – заверил нас Отсасоо.