Myterne om sikkerheden i mobilbetaling

BAGGRUND: Sikkerheden på MobilePay og andre mobilbetalingstjenester har været diskuteret længe. Men debatten fyldes ofte med sludder. Læs her hvorfor.

Sikkerhed i mobilbetaling

I Danmark er det MobilePay, Swipp og Paii som er markedets aktuelle mobilbetalingsapplikationer (Foto: MereMobil.dk)

I Danmark findes der lige nu tre store mobilbetalingstjenester. MobilePay, Swipp og Paii. Konkurrencen er intens mellem tjenesterne fordi det handler om, at få den størst mulige andel af fremtidens forventede multimilliardmarked indenfor mobile betalingsløsninger.

Den store hovedfjende er vores nuværende betalingskort hvor omsætningen er enorm. Omsætningen via Dankortet blev i 2013 på 318 milliarder kroner, ifølge Nets. Nye betalingskonkurrenter vil de kommende år forsøge at spise af Nets markedsandel og få adgang til den fortjeneste, der forventeligt er i de nye betalingstjenester.

Selvom Danske Bank har fået meget positiv omtale af MobilePay, i det der umiddelbart ligner et fastlåst marked, er potentialet fortsat enormt stort. Ifølge KPMG forventes mobilbetalingerne at stige med over 100 procent de næste tre år. Det skønnes desuden, at lidt under halvdelen af de godt 3 millioner danske smartphone-ejere endnu ikke har prøvet, at bruge mobilbetaling.

De store beløb får aktørerne til at kriges og her er alt tilladt. Sikkerheden i mobilbetaling er et af emnerne i debatten.

Debatten om sikkerheden

Over de seneste dage har flere medier, med kilde i Metroxpress rapporteret, at svindlere kan tømme ens Dankort ved at bruge MobilePay.

Fremgangsmåden er: Den kriminelle aflurer eller køber de oplysninger, der står på Dankortet. Derefter knyttes et anonymt taletidskort sammen med MobilePay og de stjålne Dankort-oplysninger. Nu kan der shoppes løs og overføres beløb med MobilePay indtil det tilknyttede Dankort spærres.

Rigspolitiets Cyber Crime Center bekræfter, at der i politikredsene er et ukendt antal af den slags sager.

Gør det så MobilePay til et usikkert betalingsmiddel eller en usikker applikation? Nej! Det gør det på ingen måde.

Apple Pay – Apple vil eje din tegnebog

Paii

Paii fortæller brugerne at tjenesten er sikker.

Sikkert med Nem ID?

Oprettelsen af en konto på MobilePay kræver oplysningerne fra et Dankort samt et gyldigt mobilnummer. Brugervenligheden og letheden ved at komme i gang uden en masse forhindringer, har på rekordtid gjort tjenesten til en succes.

To tredjedele af danske smartphone har installeret en eller flere betalingsapps. MobilePay er installeret på 44 procent af alle smartphones i Danmark. Swipp har 20 procent, mens Paii ligger på 3 procent, ifølge Dansk E-handelsanalyse 2014.

Swipp og Paii har en lidt vanskeligere oprettelsesproces – ikke svær, bare lidt vanskeligere og lidt længere.

Både Swipp og Paii identificerer brugerne via Nem ID, der hos mange har en klang af tung bureaukratisk tankegang. Alene tanken om, at skulle finde papkortet med Nem ID giver en anstrengt følelse i kroppen. For det er bare lidt mere bøvlet.

Danske Banks konkurrenter forsøger hele tiden at kommunikere sikkerhed, og ikke mindst gøre opmærksom på, at deres tjenester er mere sikre. ”Hurtigt, enkelt og sikkert,” lyder det i app’en fra Paii undervejs i oprettelsen.

Det er ikke forkert, at det er mere sikkert når Nem ID er involveret, men at koble det med, at MobilePay er usikkert er noget sludder. Hvad værre er, så køber nogle journalister præmissen om usikkerheden – og pludselig ruller historien i alle medier.

Dankortet er også usikkert

Som nævnt er MobilePay baseret på oplysningerne fra Dankortet, men her har sikkerheden i årevis, efter min opfattelse, været noget vi har bildt os ind eksisterede.

Ethvert Dankort har navn, kortnummer, udløbsdato og CVC-kode trykt på kortet. Med disse oplysninger kan enhver udnytte kortet til at handle med på nettet.

Hvis MobilePay betegnes som usikkert, så er Dankortet det i allerhøjeste grad også. Det er netop informationerne fra den printede kort, der indgår i misbruget.

Hvorfor ikke bare printe PIN-koden på kortet også? Brugerne af Dankortet accepterer jo at oplysningerne til nethandel fremgår af kortet, hvorfor så ikke også PIN-koden? Der vil opstå et ramaskrig hvis bankerne gjorde dette – og folk vil råbe op om hvor usikkert det er.

Korrekt! Men kære venner. Måden betalingskort er lavet på svarer til at lukke et pengeskab ved at binde tape omkring det, og så bilde folk ind det var sikkert.

Ved indførelsen af chip på Dankortet i 2005 blev der slået til lyd for, at nu var sikkerheden forøget. Nets skriver på deres website: ”Alle Dankort er i dag forsynet med chip for at øge sikkerheden. Chippen er særdeles vanskelig at forfalske”.

Siden chippens premiere er der ikke registeret én eneste sag med en forfalsket Dankort-chip, oplyser Nets.

Mobilbetaling udfordres af Dankortet

Dankortet misbruges i stor stil

Det er korrekt at chippen på Dankortet er vanskeligere at udlæse og kopiere, i forhold til magnetstriben. Derfor er det vanskeligere at fremstille falske Dankort i form af kopier.

Chippen har derimod ingen indflydelse haft på misbrug, der i forhold til fjernsalg – postordre, internet m.v. uden brug af PIN-kode kun er steget over de seneste år. I 2006 (1. halvår) udgjorde misbruget 1,64 millioner kroner. Samme periode i 2014 var misbruget steget til over 10,5 millioner kroner. Tallene stammer fra Nets egen statusrapport over Dankort-misbrug.

Udviklingen i misbruget skal naturligvis ses i lyset nethandlens udbredelse.

Som det har været nævnt sker der misbrug af anonyme taletidskort. Her er det i sig selv underligt, at enhver – også kriminelle, i et relativt gennemreguleret land som Danmark, kan få et telefonnummeret udleveret uden at afgive nogen form for personlige oplysninger. I årevis har sådanne taletidskort været anvendt til svindel på blandt andet Gul og Gratis, DBA.dk og tilsvarende tjenester.

Bo Tolstrup, MobilePay - Peter Bredgaard, Paii - Martin F. Andersen, Swipp

Bo Tolstrup, MobilePay – Peter Bredgaard, Paii – Martin F. Andersen, Swipp (Foto: MereMobil.dk)

Bedre beskyttelse på mobilen

Over tid vil antallet af gammeldags fysiske betalingsmidler sandsynligvis blive udfaset til fordel for betaling via mobilen, eller andre nye digitale betalingsformer.

Når vores betalingsoplysninger placeres krypteret inde i en applikation på smartphonen, er de som udgangspunkt godt beskyttede. Der anvendes en firecifret PIN-kode når oplysningerne skal bruges. Dertil kommer at adgangen til selve telefonen, naturligvis, bør være beskyttet af en adgangskode eller fingeraftryk.

I forhold til Dankortet vil jeg vurdere, at sikkerheden omkring vores betalingsoplysninger er langt bedre beskyttede inde i vores smartphone end i den fysiske verden. Mine egne betalingskort ligger eksempelvis lige nu på bordet foran mig. Når jeg om lidt henter kaffe kan enhver gå ind på kontoret og tage et hurtigt bilede af kortets for- og bagside, hvorefter misbruget kan starte.

Med risikoen for, at min telefon kan blive udsat for hacking af oplysninger, vil jeg føle mig langt mere tryg, ved at have mine kort gemt i en sikker applikation.

Nem ID kan højne sikkerheden i MobilePay

Det bedste sikkerhedsargument at Swipp og Paii har overfor forbrugere, der anvender MobilePay, er at deres tjeneste ingen ”Anders And”-brugere har. På grund af Nem ID ved man præcist, hvem brugerne er.

Efter min bedste overbevisning vil det i den diskussion gavne Danske Bank, hvis Nem ID blev indført. For at beholde en hurtig oprettelsesproces kunne det efterfølgende være muligt, at bede brugeren verificere sig med Nem ID, og så markere overfor brugerne af MobilePay om den der overføres til, er en godkendt bruger. Den fremgangsmåde anvender eksempelvis DBA.dk. Så er det op til en selv, om man ønsker at tage risikoen.

Danske Bank oplyser selv, at misbruget af MobilePay er nede i promiller og mindre end for betalingskort i øvrigt.

Hvad ændrer Nem ID?

Når en mobil betalingsapplikation anvender Nem ID, som verifikation, er der større mulighed for efterforskning hvis der skulle være foregået noget kriminelt, hvilket stiller udbyderne af tjenesten samt banker, politi m.fl. i en bedre situation, end hvis forholdet var helt anonymt.

For slutbrugerne er forskellen meget lille. Eksempelvis sidestilles MobilePay med fjernsalg. Ifølge Konkurrence- og Forbrugerstyrelsen kan du få dine penge tilbage ved fjernsalg, hvis varen eller ydelsen ikke er leveret. Men også hvis sælgeren opkræver mere end det aftalte eller hvis der hæves på din konto uden tilladelse.

Det vil sige. Handler du på nettet med MobilePay, Swipp eller Paii som betalingsmiddel i en webshop er du beskyttet. Overfører du derimod penge til en privatperson vil pengene i princippet være tabt, hvis du i en privathandel ikke modtager den aftalte vare eller ydelse.

Skal du være bekymret?

Som udgangspunkt skal du ikke være urolig eller bekymret uanset hvilken af de store tjenester du bruger.

Jeg medgiver, det er et vigtigt element at kende brugernes identitet, men det handler også om sund fornuft. At sende penge til privatpersoner med MobilePay, Swipp eller Paii svarer til at give pengene kontant til folk man mødes med.

Naturligvis kan udbyderne, særligt ved Nem ID verifikation, finde ud af hvem personen er, men det er ikke det samme som, at du får det at vide eller at pengene kommer tilbage, hvis du er blevet svindlet. Her kræver det en politianmeldelse.

Skulle dit Dankort blive stjålet og din konto tømt af en kriminel via MobilePay, er du som i andre situationer hvor dit Dankort er involveret, beskyttet og kan få pengene igen.

Web-TV: Fremtiden for mobilbetaling set fra New York

Mere til historien

Der ventes at komme flere udbydere af digitale betalingstjenester i fremtiden. Apple Pay er netop åbnet i USA og også Facebook arbejder angiveligt på person til person overførsler.

Læs også:
Podcast: Mobilbetaling fra Danmark er banebrydende


Om John G.

John G. er journalist, mobilekspert og foredragsholder. Han skriver artikler, analyser og anmeldelser til bl.a. Ekstra Bladet og Jyllands-Posten. Du kan også opleve John G. som ekspert i medier som DR, Aftenshowet, Go' Aften Danmark, TV 2 News og DR P3, samt en lang række radioer og udgivelser.