EMV
EMV היא טכנולוגיה לכרטיסי חיוב חכמים שבהם מוטמע שבב, לאבטחה מוגברת ומניעת הונאות. מקורו של שם התקן הוא בראשי התיבות המייצגים את שמותיהן של שלוש חברות הסליקה שהיו מעורבות בפיתוחו: Europay, מאסטרקארד, וויזה.
כרטיסי EMV הם כרטיסים חכמים, המכונים גם כרטיסי שבב, או כרטיסי מעגל משולב המאחסנים את הנתונים שלהם על שבבי מעגלים משולבים, בנוסף לפסים מגנטיים לתאימות לאחור, לטכנולוגיה הישנה של כרטיסי חיוב. אלה כוללים כרטיסים שיש להכניס פיזית במסוף התשלום, כמו גם כרטיסים ללא מגע שניתן בטווח קצר באמצעות טכנולוגיית תקשורת טווח אפס. כרטיסי תשלום העומדים בתקן EMV נקראים לרוב Chip ו-PIN או כרטיסי Chip and Signature, בהתאם לשיטות האימות שמפעיל מנפיק הכרטיסים, כגון מספר זיהוי אישי (PIN) או חתימה דיגיטלית.
היסטוריה
עד להכנסת טכנולוגי EMV לשימוש, כל תשלום בכרטיסי חיוב היה כרוך בשימוש בפס מגנטי או בהטבעה מכנית לקריאה ורישום של נתוני חשבון, וחתימה לצורך אימות זהות. הלקוח היה מוסר את הכרטיס שלו לקופאי בנקודת המכירה אשר לאחר מכן מעביר את הכרטיס דרך קורא מגנטי או עושה חותם מהטקסט הבולט שעל הכרטיס במכשיר מכני. בשימוש בפס המגנטי, המערכת מאמתת את פרטי החשבון ומדפיסה ללקוח חתימה על תלוש. במקרה של מכשיר מכני, פרטי העסקה ממולאים ידנית, והלקוח חותם על התלוש המוטבע. בשני המקרים, על הקופאי לוודא כי חתימת הלקוח תואמת לזו שבגב הכרטיס, כדי לאמת את העסקה.
השימוש בחתימה בכרטיס כשיטת אימות מכיל מספר ליקויי אבטחה, והברור ביותר הוא הקלות היחסית שבה יכול הכרטיס להיות מחויב לפני שהלוקח וידא על איזה סכום חויב. ליקויים אחרים כוללים את האפשרות למחיקה והחלפה של חתימה לגיטימית, או זיוף החתימה המקורית שבג הכרטיס. עם השנים, הפכה לזמינה בשוק השחור טכנולוגיה לקריאה וכתיבה של פסים מגנטיים, מה שמקל על העתקת כרטיסים והשימוש בהם ללא ידיעת הבעלים[1].
המצאת שבבים והמעגל המשולב בשנת 1959 הובילה לרעיון לשלב אותו בכרטיס חכם מפלסטיק בסוף שנות ה-60 של המאה ה-20 על ידי שני מהנדסים גרמנים, הלמוט גרוטרופ ויורגן דלהוף. הכרטיסים החכמים המוקדמים ביותר שימשו ככרטיסי חיוג בשנות השבעים שהותאמו לאחר מכן לשימוש ככרטיסי תשלום. כרטיסים חכמים השתמשו מאז בשבבי מעגלים משולבים של memory chip, יחד עם טכנולוגיות זיכרון כמו זיכרון הבזק ו-EEPROM (זיכרון לקריאה בלבד הניתן למחיקה אלקטרונית).
התקן הראשון לכרטיסי תשלום חכמים היה תקן ה-Carte Bancaire M4 של חברת Bull-CP8 שהושק בצרפת בשנת 1986, ואחריו B4B0 (תואם ל-M4) שהושק בשנת 1989. כרטיס חיוב בשם Geldkarte הושק בגרמניה קודם גם ל-EMV. EMV תוכנן לאפשר לכרטיסים ומסופים להיות תואמים לאחור לתקנים אלה. צרפת העבירה מאז את כל תשתיות הכרטיסים והמסוף שלה ל-EMV.
במקור, יצרו את התקן שלוש חברות:Europay, ויזה ומאסטרקארד, והן שהמשיכו לפתח אותו. לאחר מכן, הצטרפו חברות נוספות למיזם, והתקן עבר לניהול תאגיד EMVCo, קונסורציום שהבעלות בו מחולקת באופן שווה בין ויזה, מאסטרקארד, JCB, אמריקן אקספרס, China UnionPay, ו-Discover.
תקן EMV נכתב בשנים 1993-1994. JCB הצטרפה לקונסורציום בפברואר 2009, China UnionPay במאי 2013, ו-Discover בספטמבר 2013.
יישום התקן בישראל
במשך שנים רבות לא יושם בישראל התקן, אף על פי שהוכיח את עצמו בהורדת שיעור ההונאות (באירופה, צנחו היקפי ההונאות ביותר מ–80% מאז יישום התקן)[2], מכיוון שהבנקים וחברות האשראי בישראל לא רצו לבצע את ההשקעה הדרושה ביישומו[3]. התקן דורש מהלקוח להקיש את הקוד הסודי שלו במסוף התשלום (במקום לחתום על הקבלה, חתימה שקל לזייף). התקן יושם ברוב ארצות אירופה באופן מלא כבר בשנת 2006. באוגוסט 2013 דרש אגף הפיקוח על הבנקים בבנק ישראל מהבנקים ומחברות כרטיסי האשראי בישראל, להעביר את לקוחותיהם לשימוש בכרטיסי אשראי חכמים בעלי תקן אבטחה EMV בתוך 3.5 שנים[4]. בסוף 2016, הודיע בנק ישראל כי היישום ידחה, מאחר ועדיין לא הותקנו מסופי תשלום בבתי העסק בישראל התומכים בתקן[5]. ביולי 2018, הודיעה חברת שירותי בנק אוטומטיים, האחראית על הטמעת הטכנולוגיה בישראל, שכ-10% ממסופי התשלום בבתי העסק תומכים בתקן[6]. בנובמבר 2019 הודיע בנק ישראל, כי השימוש בתקן בישראל יתחיל בנובמבר 2020 בבתי עסק גדולים[7]. במאי 2020 הודיע בנק ישראל כי לאחר המעבר לתקן, עסקות באשראי של עד 300 שקל לא ידרשו הקשת קוד סודי[8].
יישום התקן בישראל יאפשר גם תשלום באמצעות הטלפון, על ידי שימוש באפליקציות דוגמת Apple Pay, Samsung Pay וGoogle Pay[9], ויחזק את האבטחה ברכישות באינטרנט[10].
חברת "ליפמן הנדסה אלקטרונית" הישראלית (שבעקבות רכישתה על ידי חברת וריפון הפכה ל"וריפון ישראל"), החלה לשווק מסופים מסדרת "נורית" התומכים בתקן בשנת 2003, עבור לקוחותיה מחוץ לישראל[11].
יתרונות התקן
ישנם שני יתרונות עיקריים במעבר למערכות תשלום כרטיסי אשראי מבוססי EMV: אבטחה משופרת (כולל הפחתת שיעור ההונאה), ואפשרות לשליטה טובה יותר באישורי עסקאות בכרטיסי אשראי "לא מקוונים" (offline). בנוסף אחת המטרות של EMV היא לספק מספר יישומים בכרטיס, בעיקר יישומים הכוללים כרטיס חיוב יחד עם ארנק אלקטרוני.
עסקאות בכרטיסי EMV משפרים את האבטחה מפני הונאה, בהשוואה לעסקאות עם כרטיס מגנטי, המסתמכים על חתימת המחזיק ובדיקה חזותית של הכרטיס. השימוש בקוד סודי בשילוב עם ואלגוריתמים קריפטוגרפיים דוגמת 3DES, RSA ו-SHA מספקים אימות של הכרטיס במסוף תשלום ובמערכת המארחת של מנפיק הכרטיסים. ההגנה המוגברת מפני הונאה אפשרה לבנקים ומנפיקי כרטיסי אשראי לכפות "מעבר אחריות" ("liability shift"), כך שסוחרים אחראיים (החל מ-1 בינואר 2005 באזור האיחוד האירופי ומ-1 באוקטובר 2015 בארצות הברית) על כל הונאה שעשויה להיות תוצאות מעסקאות במערכות שאינן EMV.
כאשר נכנסו כרטיסי אשראי לראשונה לשימוש, הסוחרים השתמשו בקוראי כרטיסים ניידים מכניים ולא מגנטיים שדרשו נייר פחמן כדי להטביע חותם. הם לא התקשרו אלקטרונית עם מנפיק הכרטיס. הסוחר היה צריך לעיתים לאמת עסקאות גדולות באמצעות חיוג טלפוני למנפיק הכרטיס. במהלך שנות השבעים בארצות הברית, הרבה סוחרים קיבלו רשימה, המעודכנת באופן קבוע, של מספרי כרטיסי אשראי גנובים או לא חוקיים. רשימה זו הודפסה בדרך כלל בחוברת, בסדר מספרי, בדומה לספר טלפונים דק, ובכל זאת ללא כל נתונים מלבד רשימת המספרים הלא חוקיים. הקופאים היו אמורים לעבור על החוברת בכל פעם שהוצג כרטיס אשראי לתשלום מעל סכום מסוים, לפני אישור העסקה, דבר שגרם לעיכוב.
בשנות השמונים, החל שימוש בציוד אלקטרוני המתקשר למנפיק הכרטיס, תוך שימוש במידע מהפס המגנטי לאימות הכרטיס ולאישור העסקה. זה היה מהיר יותר מבעבר, אך דרש שהעסקה תתרחש במסוף קבוע. כתוצאה מכך, אם החיוב לא התרחש בסמוך למסוף (במסעדה למשל) היה על המלצר לקחת את הכרטיס מהלקוח אל המסוף. כך שבקלות היה יכול בכל עת, עובד לא ישר, להעביר את הכרטיס בחשאי דרך מכשיר זול קורא כרטיסים ולהעתיק את המידע על הכרטיס. זה הפך את השיבוט הבלתי חוקי של כרטיסים לקל יחסית, ולתופעה נפוצה יותר מבעבר. מאז הנהגת כרטיסי EMV עם שבב ומספר סודי, אין אפשרות לבצע שיבוט של השבב. בנוסף נכנסו לשימוש מסופים אלחוטיים, שאפשר להביא אל הלקוח, כך שהכרטיס מעולם לא יוצא מעיניו של בעל הכרטיס.
קישורים חיצוניים
- עירית אבישר, ישראל עוברת לכרטיסי אשראי חכמים – במה מדובר בדיוק?, באתר גלובס, 3 בספטמבר 2013
איליה דובינסקי, טכנולוגיית התשלום הנוחה והמאובטחת מתעכבת בכניסה לישראל, באתר TheMarker, 29 ביולי 2019- ג'ניה וולינסקי, מיכאל רוכוורגר, "קשה להאמין שאנשים בישראל עדיין נותנים את כרטיס האשראי למוכר", באתר TheMarker, 21 באוגוסט 2019
הערות שוליים
- ^ דפנה מאור, ישראל מצטיינת באבטחה, אבל לא באבטחת תשלומים, באתר הארץ, 1 בפברואר 2011
- ^ מאיר רן, בקרוב נשלם אחרת, באתר TheMarker, 2 באוגוסט 2017
- ^ מירב ארלוזורוב, חברת האשראי שביישה אותי – והמונופול הדורסני שעוצר מהפכה אדירה בישראל, באתר TheMarker, 18 באוקטובר 2017
- ^ עירית אבישר, בנק ישראל: מעבר לכרטיסי אשראי חכמים – תוך 3.5 שנים, באתר גלובס, 20 באוגוסט 2013
- ^ עירית אבישר, יידחה חלקית יישום ההנחיות להטמעת כרטיסי האשראי החכמים, באתר גלובס, 19 בדצמבר 2016
- ^ עירית אבישר, 10% ממסופי התשלום בבתי העסק תומכים בתקן ה-EMV, באתר גלובס, 25 ביולי 2018
- ^ TheMarker, הסוף לגיהוצים: המשק יאמץ את תקן EMV לכרטיסי אשראי עד נובמבר 2020, באתר TheMarker, 27 בנובמבר 2019
- ^ ג'ניה וולינסקי, בנק ישראל: עסקות באשראי של עד 300 שקל לא ידרשו הקשת קוד סודי, באתר TheMarker, 11 במאי 2020
- ^ אבי זיתן, מהפכת האשראי: גוגל ואפל יפתחו את שוק הסליקה לארנקים הישראליים, באתר TheMarker, 18 בנובמבר 2019
- ^ עירית אבישר, כמחצית מעסקאות האשראי בישראל – ללא הכרטיס עצמו, באתר גלובס, 7 באוגוסט 2016
- ^ ירון פרידמן, ליפמן זכתה באישור של ויזה לעמידה בתקן האבטחה למוצר נוסף, באתר גלובס, 17 בספטמבר 2003
מסופי ה"נורית" של ליפמן אושרו לפעול בתקן האבטחה "EMV 2000", באתר גלובס, 19 באוקטובר 2004
אמיר כידן, קורא כרטיסי האשראי של ליפמן שימש בנק סיני להשקת יוזמת ה-EMV, באתר גלובס, 18 בינואר 2006
