16 enero 2010

Pagos con tarjeta. Identificación obligatoria ¿es necesaria?

Si digo que el fraude con tarjetas de crédito está a la orden del día, no creo que le cuente a alguien nada nuevo. Sin embargo, muchas veces nos resulta molesto cierto tipo de medidas que se toman para evitar que den lugar a efectos colaterales. Existe la creencia popular de que las únicas personas con autoridad para pedirnos nuestra identificación son los miembros de los Cuerpos y Fuerzas de Seguridad del Estado. Esto es 100% cierto; sin embargo, cuando queremos efectuar un pago con tarjeta físicamente, se nos exige una identificación mediante un documento oficial (en general, sólo es válido el DNI) argumentando que es por nuestra propia seguridad (en realidad si un pago se realiza en un establecimiento y el dueño de la tarjeta denuncia el mismo, quien asume el coste es el establecimiento).

Una de las cosas que realmente sí son por mi seguridad, y que sí que me debería preocupar, es el saber qué hace el camarero con mi tarjeta cuando desaparece y vuelve con un papelito enrrollado para que lo firme. Es decir, el DNI me lo pides para cubrirte tú, pero, ¿quién me cubre a mí que no clonas mi tarjeta cuando la pierdo de vista? Quizá la medida de las tarjetas con chip EMV que obligan al camarero a traer un lector especial que requieran un PIN para poder efectuar el pago solucionen el problema en algunas ocasiones, pero mientras siga siendo híbrida (teniendo banda magnética y chip) de poco valdrá. Esto lo comprobé esta semana en una conocida cadena de restaurantes de comida rápida: el camarero (que apenas entendía español) pidió mi DNI, hizo como que comprobaba que coincidían los nombres de ambos plásticos, se llevó la tarjeta y la pasó por el lector (esta vez se veía más o menos desde mi posición), me trajo el recibo a firmar, yo lo firmé con una firma que era la primera vez que hacía, no comprobó que la firma coincidía ni con la de la tarjeta (que no la tengo firmada) ni con la del DNI y se fue más que contento.

Entonces ¿Cuánto hay de cierto en la obligación de presentar el DNI? He buscado en google un contrato de solicitud de tarjeta de crédito (por ejemplo éste). Buscando en las condiciones que uno mismo firma en el contrato se indica claramente:

5.1 - El usuario deberá firmar la Tarjeta en el espacio destinado a tal fin, tan pronto como la reciba así como acreditar su identidad cuando sea requerido para ello por el tercero ante quien pretenda hacer uso de la Tarjeta mediante exhibición del Documento Nacional de Identidad, cuando así se solicite, o mediante otros sistemas de identificación o claves que previamente le haya notificado Iberia Cards.

Parece claro entonces que cuando queramos realizar un pago con tarjeta, si nos piden que nos identifiquemos, hemos aceptado y firmado en un contrato de solicitud que lo haremos.

Pero, ¿qué sucede con las compras online? Nadie nos exige nada. Se pueden hacer cargos a una tarjeta de crédito robada desde Internet de una forma libre, de manera que nuestro único amparo sea la ley (y los seguros anti-fraude de las entidades de las tarjetas de crédito), siempre y cuando el fraude se cometa desde un país con relativos medios.

Cuando la compra online involucra unos billetes de avión o la reserva de un hotel por ejemplo, se nos exige además que introduzcamos la fecha de caducidad y el código CVV de la tarjeta. Si alguien comprometiera el servidor de transacciones de la tienda online, se contaría con el conjunto de datos completo para llevar a cabo cuantas compras se deseen (o al menos cargos indebidos).

Pongamos un ejemplo práctico de NO autenticación en servicios online y SÍ en compras físicas. Como tantos viernes, se nos ocurre a Yago y a mí quedar para ir al cine. Al llegar a la taquilla, y pagar con tarjeta, se nos exigirá presentar el DNI del titular. ¿Qué potestad tiene la alegre taquillera para exigirme la identificación? En cambio, si Yago o yo fuéramos previsores y las compráramos/reserváramos a través de Internet, llegaríamos con toda tranquilidad al cajero automático de reservas que está a la vuelta de la taquilla y, al insertar la misma, las entradas se imprimirán sin necesidad de identificaciones previas. En ninguno de los dos casos hemos cometido fraude, sino que hemos realizado una compra usando nuestra tarjeta, en un caso siendo requerida una autenticación con un documento oficial, y en el otro caso, simplemente la posesión de la tarjeta (que podía haber sido robada y no denunciada perfectamente).

Supongo que la integración de una identificación electrónica (en España el DNI-E) aún no ha calado lo suficiente en el comercio, y sus capacidades y usos actuales están aún muy verdes de implementar. La utilización de este tipo de autenticación podría llevar asociada un mecanismo de pago a una cuenta bancaria que realmente permita asegurar que la persona que realiza la reserva, compra, o recepción de un pedido es quien dice ser (o al menos de pistas claras y no repudiables de ello). El problema es la internacionalidad de este tipo de pagos; y es que crear una PKI o una identidad digital única y válida en todo el Mundo sería demasiado complicado e inmantenible al menos para esta década. Veremos en la siguiente!

23 comments :

dondado dijo...

Para el pago físico el camino es, como dices, las tarjetas EMV, prácticamente todos los comercios la aceptan y una vez que le tienes puedes negarte perfectamente a mostrat el DNI y la tarjeta no debería separarse de ti ya que tú vas a tener que meter el PIN.
Para el comercio electrónico es un poco más complicado, se necesita un sistema de tercero de confianza, por ejemplo si pagas con una VISA en una entidad adherida a CECA te redirigen a un sistema (VINI) que te autentifica y crea una tarjeta virtual temporal que es la que finalmente se envía al comercio; el sitema es seguro pero por contra es muy engorroso y las primeras veces es fácil confundirse.

vierito5 dijo...

Es la misma historia de siempre, estamos super preocupados por la seguridad online e informática cuando vulnerar el mundo real es muchísimo más sencillo. En España hemos tenido suerte que la clonación de tarjeta de crédito no ha calado "tanto" como en otros países y por eso la gente no se siente tan preocupada cuando el camarero se lleva la tarjeta. Con un escáner, una impresora y gimp le podrías estar jodiendo la vida a cualquier persona, falseando sus documentos, domiciliándole cosas, etc.

Jukio dijo...

Buen articulo, pero yo sigo teniendo mis reticencias a meter el codigo pin en los dispositivos de pago portatiles, cada vez que realizo una compra con tarjeta de credico.

¿Sabeis como funciona esta autentificacion? ¿Cuando se cifra el codigo pin y con que algoritmo?

Me explico: Imagino que el dispositivo tiene establecida una conexion con los servidores de la entidad bancariay imagino que esta funcionara bajo un canal seguro, y que en en momento de introducir el codigo ping la aplicacion que corre en eldispotivo cifra el codigo que introducimos y lo envia a los servidores bancarios.

Pero me gustaria conocer mas sobre este proceso si teneis alguna informacion al respecto.

Gracias

pperez333 dijo...

Hace poco estuve en Londrés y allí el pago con tarjetas EMV está totalmente implantado y en ningún momento te piden una identificación que según tengo entendido no tienen.

De hecho, cada vez que me piden el DNI y el pin me parece que me sobra algo.

Lorenzo Martínez dijo...

@dondado -> La próxima vez intentaré indicar que quiero que mi tarjeta va con chip EMV y que quiero que me traigan el terminal inalámbrico...

@Vierito -> La clonación de tarjetas en España está más extendido de lo que parece. De hecho, incluso ha habido fraudes en peajes, cajeros automáticos (en los que cambian el lector y el teclado), por no hablar de camareros que venden a las mafias los números de las tarjetas que pueden (confirmado por gente del departamento de seguridad de una pasarela de pago...)

@Jukio -> Hasta donde sé el PIN es necesario para poder acceder a la información interna de la tarjeta (las Smartcards suelen funcionar así), es decir, que no se puede acceder a lo que guarda el chip si no es mediante el PIN. Te dejo un enlace donde puedes encontrar más información sobre la estructura de las tarjetas inteligentes -> http://es.wikipedia.org/wiki/Tarjeta_inteligente

@Pperez333 -> En Francia es igual que lo que describes. En todas partes aceptan pagar mediante tarjetas con chip, sin embargo si vamos con tarjetas con banda magnética, lógicamente también podemos pagar

Silvia dijo...

Creo que si te quieren robar, lo harán de todas formas, de una manera o de otra, por que cuando la dependienta te dice que introduzcas el pin tienes a la maruja de atrás empujando por que tiene prisa, una pareja al lado preguntando en el mostrador por otra talla de lo que buscan, la encargada de la cajera haciendo las cuentas de la caja al lado, otra dependienta que es nueva y no tiene ni idea dando vueltas por detras del mostrador, la misma cajera esperando que metas el pin con todas las prisas por seguir atendiendo a la maruja, una larga fila de gente que por naturaleza cotillean todo lo que haces, y además las personas que te acompañen, sean o no de tu confianza. Y tu pensando que bonito lo que me acabo de comprar en las rebajas, sin darte cuenta de que hay mil personas viendo como metes 4 digitos en un cacharrito. Y luego viene el tipico que te pega el tirón al salir del comercio, ha visto como metias el pin, se lleva la tarjeta y se compra 4 coches a tu costa... Siempre habrá formas.

Yo creo que las PKI estan siendo bastante acogidas desde el gobierno en España, el problema son los abuelillos y gente que se ancla en lo facil, lo de siempre, para que algo nuevo, si lo antiguo iba bien. En defensa ya utilizamos este tipo de tarjetas para poder acceder a nuestras cuentas personales del trabajo. Y aun así mi jefe se la deja todos los dias en el cajon de la mesa, y me se su contraseña por que estoy harta de ver como la teclea.

Me robarán igual... solo espero darme cuenta a tiempo.

Me ha gustado el artículo :D

Pirmaky and Manly dijo...

Está claro que todas las medidas que se toman son para intentar impedir los fraudes, lo que pasa es que no hay nada que sea invulnerable y ahí están los golfos de turno para averiguar dicha vulnerabilidad y ejecutar el timo.

Zerial dijo...

@Pirmaky and Manly: Creo que tienes razon cuando dices que son medidas para disminuir los fraudes. Pero ojo, esto funciona solamente cuando esas medidas se respetan. Yo creo que las medidas si bien son "buenas", no se estan respetando por lo tanto no sirven.

Nemigo dijo...

varias cosas, si te piden el pin NO es necesario firmar (pero sí identificarte)
Fuera de españa en USA y otros países NO se pide identificación alguna. Entienden que es competencia tuya vigilar tu tarjeta y si la pierdes denunciar para que la anulen

Al que preguntaba sobre los terminales TPV son muy fiables. No es solo pasar la tarjeta y marcar pin o firmar es que el establecimiento debe identificar su negocio. No es un apunte en las islas camimán. Es prácticamente imposible que te cobren algo sin justificación. A mí me tiene pasado que me cobraron dos veces una compra. Pasaron dos veces la tarjeta pero reclamas la compañía pide el recibo FIRMADO y como no hay te anulan el cargo

Jorge dijo...

También depende de la pasara de pago (tienda online) ya que muchas aparte de los datos de la tarjeta (Números,fecha de caducidad y CCV) te piden un número de teléfono válido al que te llamarán para confirmar el pago preguntandote unas cuestiones (Hay servicios de voip dentro del carding que dan este servicio en diferentes idiomas), en otras tiendas te piden un scan del DNI y también un extracto pero también es posible contratar estos servicios.

La verdad es que el mundo del carding está por delante en muchos aspectos.

Yo me cubro por si me birlan la tarjeta activando el SMS al móvil cuando se hace cualquier movimiento.

De todas formas googleando un poco cualquiera puede comprar una CC y adquirir estos servicios y comprarse una Xbox ya que también hay servicio de drop.

Así es este mundo

Saludos

Pablo dijo...

A mi me preocupa mas el tener que pagar identificándome, después de todo si pueden robar mi datos de identidad, es por que debo identificarme y allí veo el gran cambio, toda la vida (bueno no toda) pague con efectivo, un medio de pago "anónimo", si me roban la billetera me roban unos cuantos pesos, pero NO mi datos de identidad (en todo caso trataré de no llevar muchos pesos). Lo que a mi me gustaría es que se pudiera pagar online con una alternativa anónima, algo que "virtualice" el papel moneda y no la tarjeta (de crédito/débito). Quiero pagar SI, quiero dar mis datos de identidad NO, al final de cuentas para muchas transacciones, mis datos, son totalmente irrelevantes.

Saludos a todos.

rosgos dijo...

¿Por qué nos da vergüenza tapar el código pin cuando estamos en un cajero o cuando el dependiente/camarero nos pide introducirlo?

No quiero que ninguna cámara grabe mi pin, así que siempre tapo el teclado con mi mano. No quiero que la gente vea mi pin, así que también lo tapo ante camareros/dependientes/clientes....

Es más, he conseguido que mi novia también lo haga, y no me tome por loco....

Pablo dijo...

Algo así he pensado yo estos días. He estado en Bruselas y he pagado algunas cosas, por ejemplo, los billetes de tren, con tarjeta.

Allí hay un Pin Pad conectado al TPV que sale hasta fuera de la taquilla y los clientes pasan o introducen su tarjeta por su lado de la ventanilla sin que el taquillero entre en contacto con ella. En principio esto parece seguro, ya que las tarjetas EMV (las de chip) piden el PIN.

Pero yo tenía una tarjeta de banda, que esta programada para enseñas el DNI y no exige PIN, por lo que al pagar y pasaba la tarjeta y al taquillero le salía el ticket, no tuve que enseñar ni una vez mi DNI.

Buenas observaciones las vuestras.

Un saludo

Pedro dijo...

Uhm, ¿ Alguien sabe quién tiene la responsabilidad (el comprador o el vendedor) en caso de fraude con tarjetas EMV ?

Me explico, si te roban la tarjeta de banda magnética y alguien realiza una compra en tu nombre, puedes ir al banco y rechazar el cargo en los 15 días siguientes. La responsabilidad es del comerciante por no haber comprobado correctamente tu identidad.

En el caso de las tarjetas EMV, al poner el PIN, la responsabilidad de la compra es muy posible que recaiga sobre el comprador (o más bien, sobre el dueño legítimo de la tarjeta :p ) .Con lo que no habría posibilidad de reclamar a la tienda en caso de fraude (que es lo que ocurre en las compras por Internet "con PIN" o "3-D").

¿Alguien lo sabe seguro?

Un saludico

Nemigo dijo...

varias cosas, si te piden el pin NO es necesario firmar (pero sí identificarte)
Fuera de españa en USA y otros países NO se pide identificación alguna. Entienden que es competencia tuya vigilar tu tarjeta y si la pierdes denunciar para que la anulen

Al que preguntaba sobre los terminales TPV son muy fiables. No es solo pasar la tarjeta y marcar pin o firmar es que el establecimiento debe identificar su negocio. No es un apunte en las islas camimán. Es prácticamente imposible que te cobren algo sin justificación. A mí me tiene pasado que me cobraron dos veces una compra. Pasaron dos veces la tarjeta pero reclamas la compañía pide el recibo FIRMADO y como no hay te anulan el cargo

Zerial dijo...

@Pirmaky and Manly: Creo que tienes razon cuando dices que son medidas para disminuir los fraudes. Pero ojo, esto funciona solamente cuando esas medidas se respetan. Yo creo que las medidas si bien son "buenas", no se estan respetando por lo tanto no sirven.

Silvia dijo...

Creo que si te quieren robar, lo harán de todas formas, de una manera o de otra, por que cuando la dependienta te dice que introduzcas el pin tienes a la maruja de atrás empujando por que tiene prisa, una pareja al lado preguntando en el mostrador por otra talla de lo que buscan, la encargada de la cajera haciendo las cuentas de la caja al lado, otra dependienta que es nueva y no tiene ni idea dando vueltas por detras del mostrador, la misma cajera esperando que metas el pin con todas las prisas por seguir atendiendo a la maruja, una larga fila de gente que por naturaleza cotillean todo lo que haces, y además las personas que te acompañen, sean o no de tu confianza. Y tu pensando que bonito lo que me acabo de comprar en las rebajas, sin darte cuenta de que hay mil personas viendo como metes 4 digitos en un cacharrito. Y luego viene el tipico que te pega el tirón al salir del comercio, ha visto como metias el pin, se lleva la tarjeta y se compra 4 coches a tu costa... Siempre habrá formas.

Yo creo que las PKI estan siendo bastante acogidas desde el gobierno en España, el problema son los abuelillos y gente que se ancla en lo facil, lo de siempre, para que algo nuevo, si lo antiguo iba bien. En defensa ya utilizamos este tipo de tarjetas para poder acceder a nuestras cuentas personales del trabajo. Y aun así mi jefe se la deja todos los dias en el cajon de la mesa, y me se su contraseña por que estoy harta de ver como la teclea.

Me robarán igual... solo espero darme cuenta a tiempo.

Me ha gustado el artículo :D

Javierperez1951 dijo...

El D.N.I. en España , se presenta a Policia,Jueces y en general a la Administracion , a su requerimiento y sin retenerlo . Ni Visa , ni otra organización comercial  pueden solicitar el identificarse con él . Es mas , en ningún lugar del contrato lo recoge , solo incluye , que se identificará ( ellos se cubren de responsabilidades ) . La primera Entidad en Catalunya que  inicío la costubre de pedir el DNI  fue  La  Caixa . Ella , obligaba a los comerciantes a solicitar el DNI , con la amenaza de que si había algún problema en la transacción , el comercio no cobraría .                                                   La identificación se realiza mediante la firma en el recibo . Esa , debe ser la misma que figure en la tarjeta VISA.Y es el vendedor el que debe de comprovarlo .Si obsevamos atentamente cualquier tarjeta de crédito apreciaremos que en ningún lugar incluye  "esta tarjeta de crédito se complementará con el DNI " . Y no lo pone porque está prohibido . En cuanto a las VISAS con chip, eso queda fuera de comentarios . Lo que hay que hacer cuando nos soliciten el DNI , es llamar a la Policia Naciona , Guardia Civil , u otro Cuerpo , identificar al solicitante y ponerle una demanda Penal en el Juzgado . Así acabará ese abuso .
Doctor F. Pérez 
Abogado
Doctor en Geografía e Historia

 

Alex2000ruz dijo...

Me añado a la discusion, pues es muy interesante. Os comento mi testimonio desde el punto de vista del comerciante. 
Yo soy comerciante, y dispongo de datáfono. Cuando efectúo un cobro con tarjeta de chip, SIEMPRE pido una identificación (DNI o carné de conducir). Muchos clientes me afirman con rotundidad que si requiere PIN no tienen porqué enseñarme una identificación, y tienen razón. Pero yo, como comerciante y poseedor de ese sistema de pago opcional, pongo las condiciones que el cliente debe aceptar (de la misma manera que no aceptamos pagos inferiores a 7,00€). 
Que el cliente ponga el PIN no es sinónimo de que sea el propietario de dicha tarjeta. Hay mucha gente (entre las cuales me incluyo yo) conocedores de los PIN de tarjetas de familiares o amigos. Por lo tanto, si voy a pagar con la visa de mi novia (cuyo pin conozco) y no me solicitan el DNI...al comerciante se le puede caer el pelo. Lo mismo sucede con las visas de empresa. Siempre pido la documentacion para evitar malos entendidos.
A parte, cabe decir que marcar el pin conlleva que el cliente acepta esa cantidad a cobrar y que ratifica que él es la persona sobre la que recae el cobro (al igual que la firma). 
Si el cliente se niega a enseñarme la indentificación yo me niego a cobrarle mediante ese sistema de pago. Asi de sencillo.

ANTI-CATETOS dijo...

Ya, pero seguro que no has puesto un cartel bien grande que diga que no aceptas el PIN como autenticador del portador de la tarjeta de pago. Si lo pones bien grande la gente que no acepta identificarse ante un tendero como tú, no te va a comprar, se irá a otro sitio, como hago yo. Así que ponlo claro para que si paso por tu tienda pase de largo. Por cierto, tu no tienes las atribuciones de un gendarme. Hay un hecho muy sencillo, si el banco no me pide el DNI para sacar dinero de un cajero, qué hace un tendero atribuyéndose ese derecho. Espero que si eres responsable con lo que dices, insisto que pongas tus normas bien claras y no des la sorpresa a la hora de pagar. Así de sencillo.

que we soy dijo...

una pregunta si rellene el formulario y puse mis datos pero no pague podrian plagiar mis datos personales EN UKASH

AshleyJane dijo...

HACK ATM Y HAZTE RICO HOY !!!!

Hola a todos. Hay una nueva forma de hacer dinero, aunque es ilegal, sino también una forma inteligente y fácil de vivir en grande. Yo solía ser una chica cuartel hasta que me convertí ansiosos y decidí cambiar mi vida de una manera u otra. Tengo oportunidad de registrarse para la amnistía militante a través de conexión teniendo así me fuera del país para la formación en los Estados Unidos por un período de 3 años. Para cortar el cuento, durante mi entrenamiento que hice algunos amigos blancos que eran los geeks y también expertos en ATM reparaciones, programación y ejecución que me enseñaron varios consejos y trucos acerca de irrumpir en un cajero automático. con mi conocimiento obtenido de mis amigos blancos friki, he sido capaz de falsificar y el programa de una tarjeta de cajero automático en blanco utilizando diversas herramientas y software de. Tengo tarjetas de cajeros automáticos programados ya hechas; Yo soy sólo 29 años, mi familia se encuentran en EE.UU. y no tengo dinero, tengo un coche, vivo en Malasia y viajo por todo el mundo. hago mis cosas en un bajo perfil para no levantar sospechas. Algunos de ustedes se preguntarán por qué estoy vendiendo esto si de verdad yo ya estoy viviendo grandes. Es porque es tarea difícil hacerlo usted mismo, no voy a mentir a usted, no es fácil de hackear ATM hablar más de la reprogramación de la tarjeta solo y ser capaz de obtener $ 40.000 cada día. Lleva días ya veces semanas. Algunos de ustedes querrán la tarjeta hecha lista para evitar el estrés de hacerlo usted mismo y no dar la tarjeta confeccionada de forma gratuita, ya que me pasé días intentando hacer que esté disponible para usted. e-mail me. janeashley333@gmail.com por petición de la ATM NOTA: la tarjeta de cajero automático no tiene polos, sin número de la cuenta registrada. No tiene ningún límite para la retirada y que es imposible de encontrar. janeashley333@gmail.com

William James dijo...

Buen día,

¿Necesita un préstamo? para impulsar su negocio, pagar sus facturas de servicios públicos, préstamos personales, consolidación de deudas. Un prestamista préstamo legítimo y acreditado, Damos préstamos de todo tipo en una manera muy rápida y fácil, nuestro préstamo es barato, flexible y fácil de obtener. Para regresar a nosotros si está interesado en los detalles a continuación: Correo electrónico: marksteven123@hotmail.com


Sr. Anderson Luna.
departamento de Marketing
Mark Steven FINANCIERO HOME.
Email: marksteven123@hotmail.com