He leído mucho sobre el robo de información financiera, particularmente datos de tarjetas de crédito, porque se almacenan o al menos se ingresan en línea o en puntos de venta. Me parece que el método podría hacerse seguro si se invirtiera.
Recientemente, mi asesor financiero me dijo que cambiara del método de pago automático, donde, por ejemplo, la compañía de servicios eléctricos tiene la información de mi cuenta bancaria y extrae dinero de mi cuenta todos los meses, al método de pago de facturas, donde instruyo a mi banco para enviar dinero automáticamente. De esa manera, el beneficiario no almacena la información de mi cuenta, por lo que no se la pueden robar. En el peor de los casos, hay un conjunto de números falsos de una sola vez que no se pueden reutilizar.
Entonces, ¿por qué las tarjetas de crédito no funcionan de esa manera? Haces un cargo, tu banco recibe la solicitud y envía un mensaje de texto a tu teléfono para decir "¿autorizaste esto?" Y respondes sí o no. Si dice que no, no puede salir de la tienda con las cosas, y la tienda no tiene nada en el archivo más que un número de solicitud único. Lo mismo para en línea. En el peor de los casos, lo regañan todos los meses para que apruebe su membresía en el gimnasio o lo que sea, y nadie puede volver a robar su información.
¿Soy un súper genio o hay algo obviamente mal con este esquema (además, obviamente, necesito un teléfono)?
Haces un cargo, tu banco recibe la solicitud y envía un mensaje de texto a tu teléfono para decir "¿autorizaste esto?" Y respondes sí o no. Si dice que no, no puede salir de la tienda con las cosas, y la tienda no tiene nada en el archivo más que un número de solicitud único.
Hay sistemas de pago que funcionan exactamente de esta manera. Creo que el más grande es Alipay (principalmente en China), pero probablemente haya otros. Con este sistema, su teléfono genera un código de barras o código QR de una sola vez, que el comerciante escanea. Su cuenta se carga y ese código nunca se vuelve a usar.
Creo que también tiene un modo alternativo en el que el cliente escanea el código QR del comerciante, lo que hace que envíe dinero al comerciante, pero no estoy seguro de eso. El mayor problema aquí, y realmente el mayor problema en los pagos en general, es "¿Qué pasa si falla la comunicación?"
Si el comerciante lee los datos de su tarjeta (o código QR) y no puede enviarlos a su banco (o Alipay) para aprobarlos, tiene dos opciones: puede dejar que se vaya con los productos de todos modos o puede decir "Lo siento , no podemos venderte eso en este momento. Vuelve mañana". En la gran mayoría de los casos, es mejor que te dejen ir con los bienes, suponiendo que podrán cargar tu tarjeta con éxito más tarde. Después de todo, las tarjetas de la mayoría de las personas son buenas y, si se hacen con la suficiente fluidez, los estafadores no sabrán que la tienda está fuera de línea para aprovecharla. Y si no puede comprar lo que quería en ese momento , puede ir a un competidor o darse por vencido por completo, y ellos pierden.
La otra cara de la moneda es que si tienen que depender de su teléfono para enviar dinero, en lugar de solicitarlo, tienen que lidiar con un mal servicio celular, clientes cuyos teléfonos están muertos o cualquier otra razón por la que no pueda enviarlo. en ese mismo momento. Y mientras espera que la aplicación correcta se cargue en su teléfono con una sola barra, otros clientes se acumulan detrás de usted.
Además, debe haber una manera de generar un número lo suficientemente único como para que su aplicación de pago sepa exactamente cuánto enviar a qué comerciante, para qué pedido, o no tendrán forma de saber que lo hizo, de hecho , paga con éxito. Y si están desconectados, no tendrían forma de recibir esa notificación, por lo que ahora hay dos puntos de falla de comunicación que harán que la venta fracase. (Esta es también la razón por la que la mayoría de las ventas no activan mensajes de texto para la confirmación previa a la aprobación. ¿Qué sucede si no recibe el mensaje de texto?)
Por último, a la marca de la tarjeta le interesa aceptar únicamente solicitudes de pago de fuentes verificadas (es decir, procesadores comerciales) y no tener puntos finales expuestos públicamente que cualquier persona con una conexión a Internet pueda hacer DDOS o interrumpir de otra manera. Y es más rentable para ellos comer los costos del fraude (o, mejor, hacer que el comerciante pague) en nombre de hacer que los pagos fluyan lo más rápido posible.
Nota: Esta respuesta se centra en las industrias minorista y de servicio rápido/comida rápida . Los hoteles, los restaurantes y bares, las gasolineras, los comerciantes de alto valor (como las joyerías), etc., tienen diferentes requisitos que afectan los riesgos que están dispuestos a asumir.
Estás poniendo el carro delante del caballo. Voy a aventurarme y asumir que "mucho sobre el robo de información financiera" que ha leído, nadie señaló que el fraude equivale a una parte del uno por ciento del volumen de transacciones.
Todo el mundo AMA las tarjetas de crédito, y me refiero a todo el mundo. Los comerciantes a veces aparecerán en las noticias quejándose de las tarifas de procesamiento de tarjetas de crédito. Incluso podrías pensar, ¡YA! esto no es justo
Con una tarjeta de crédito, puedo comprar algo sin tener el efectivo encima. Incluso ha habido estudios que prueban a la ligera que, en general, la gente gasta más de lo que gastaría con dinero en efectivo. De hecho, incluso podría gastar dinero que no tengo en absoluto. Puedo gastar más de lo que gano. Sin dinero en el banco puedo comprar un televisor con mi tarjeta de crédito. El comerciante nunca se da cuenta porque al comerciante se le pagó. Visa no se da cuenta porque a Visa le pagaron. Su banco se da cuenta y comienza a cobrarle intereses. Cuando no paga, su cuenta se vende a un cobrador de deudas. Cuando se declara en bancarrota, su negativo se cancela como un gasto comercial que se puede deducir de los ingresos del banco (o de la agencia de cobro).
Para que este sistema funcione, el cliente no puede asumir también el riesgo de fraude. En los EE. UU., no tengo riesgo de fraude. En los últimos 12 meses dos de mis tarjetas han tenido algún grado de cargos fraudulentos. Llamo al banco, les aviso, me dan de baja la tarjeta y de un día para otro me una nueva. Si fuera responsable de cualquiera de los cargos fraudulentos, como mínimo no aceptaría un límite de $20,000 de mi banco, lo reduciría a una cantidad que estaría dispuesto a arriesgar por fraude. Ahora mi capacidad de gasto se limita a mi micro tolerancia al riesgo de fraude.
Todos en toda la cadena de la transacción quieren que pueda entrar a una tienda con mucha más capacidad de gasto que liquidez, y eso está bien para mí. Si alguno de ellos quiere enviarme un mensaje de texto para autenticar un cargo en dos factores, cortaré esa tarjeta y cancelaré la cuenta. Todos ganan dinero cuando gasto dinero. Los bancos emisores están tan entusiasmados con que gaste con su tarjeta que luchan por mí con programas de recompensas locos y me entregarán una tarjeta de reemplazo por temor a que pueda comenzar a usar un competidor.
Con esto en mente, recomiendo nunca usar una tarjeta de débito adjunta a una cuenta corriente, nunca. Tengo mi banca configurada con un modelo de centro y radios. La mayoría de mis cuentas no pueden ver mi cuenta corriente principal. Mantengo una cuenta de cheques separada que se adjunta a mi paypal y similares. Hace varios años, se produjo un fraude con cheques en mi, en ese momento, única cuenta corriente. Involucró un duplicado de mi tarjeta de débito y un cheque fraudulento que se depositó en mi cuenta con la tarjeta de débito duplicada y luego se usó para gastar todos los fondos de mi cuenta, incluido el cheque fraudulento. El banco tardó unos 6 meses en resolverlo y fue muy perjudicial para mi vida. Desde entonces he mantenido un mínimo de dos cuentas corrientes en dos bancos diferentes y NUNCA uso mi tarjeta de débito. Desde este punto de vista, sí, su asesor financiero tiene razón.
Cuando hay fraude en mi American Express, es el dinero de American Express el que desaparece. Cuando ocurre un fraude en su cuenta corriente, es su dinero el que desaparece, así que no sea frívolo con quién se engancha a su cuenta corriente.
Bueno, en primer lugar, una de las principales prioridades de las compañías de tarjetas de crédito es hacer que la transacción sea lo más fluida posible. Ese es uno de los principales argumentos de venta para los titulares de tarjetas y los comerciantes: a los titulares de tarjetas les gustan las tarjetas de crédito porque hace que sea más fácil comprar cosas, y a los comerciantes les gustan las tarjetas de crédito porque hace que la gente compre más cosas porque es más fácil.
Y si se pregunta por qué los tarjetahabientes no tienen que autorizar cada transacción, así es como funciona. Cuando desliza su tarjeta, está autorizando esa transacción específica, no está entregando un cheque en blanco al comerciante. Si estás diciendo que el comerciante tiene todo lo que necesita para fingirha autorizado otra transacción, pues no, no lo hacen. Ese es el objetivo de las tarjetas con chip. Si tiene una transacción con chip (obviamente, esto no se aplica a las compras en línea), el chip toma todos los detalles de la transacción, además de un número de transacción, y los firma digitalmente. Si alguien roba la información de su tarjeta de crédito y crea una transacción falsa con ella, no podrá firmar digitalmente la transacción falsa. Si usan la firma digital para la transacción original, enviarán una transacción con un número de transacción que ya se usó, por lo que será rechazada.
Entonces, ¿por qué las tarjetas de crédito no funcionan de esa manera? Haces un cargo, tu banco recibe la solicitud y envía un mensaje de texto a tu teléfono para decir "¿autorizaste esto?" Y respondes sí o no.
¿Cómo es eso más seguro que la terminal que le pregunta "¿autoriza esto?" cuando pasas tu tarjeta?
Supongamos que configura un sistema en el que los comerciantes se comunican con los teléfonos de las personas para preguntar si la transacción está autorizada. ¿Por qué hacerlo a través de textos? ¿Por qué no tener una aplicación que reciba solicitudes de autorización? En ese momento acabas de reinventar la billetera digital.
ben voigt