ING WebCard

Noua „găselniță” a celor de la ING este „ING Webcard”. Practic un card MasterCard cât se poate de normal, destinat cumpărăturilor făcute prin Internet. Pe care ei îl laudă ca fiind cea mai secure chestie de la pâinea feliată (da, știu, în engleză suna mult mai bine 😛 ). Au mers până la a plăti niște bloggeri pentru a le lăuda produsul respectiv (pentru detalii vedeți site-ul ING, că nu am de gând să dau link-uri aici).

Bun, din toată nebunia de marketing mi-a atras atenția acel „3D Secure”. Ce înseamnă el? Think „varianta online a codului PIN” – în momentul realizării unei plăți online, înainte de acceptarea plății, ți se cere un cod. O parolă. Pe care o știi doar tu. Ca urmare, pierderea/furtul cardului de credit nu înseamnă neapărat și pierderea banilor de pe el.

Dacă mă întrebați pe mine, eu am două probleme cu mecanismul respectiv:

  1. Mi se pare mult mai ușor de folosit în interesul băncii. Deși ei se laudă că ai „money back guarantee” în cazul unor tranzacții care nu au fost efectuate de tine, citiți cu atenție condițiile de utilizare 3D Secure. Și veți afla că „sunteți răspunzător direct de toate tranzacțiile efectuate folosind codul 3D Secure”. Adică nu mai puteți spune „n-am făcut eu tranzacția”, și ca urmare banca nu mai trebuie să se stresseze să vă dea vreun ban înapoi.
  2. Eu folosesc de peste un an cardul Visa Electron de la ING pentru plăți online. Fără nici un fel de probleme. Și nu înțeleg de ce nu au activat mecanismul echivalent („Verified by VISA”) pentru cardul respectiv, și au ținut neapărat să lanseze „un nou produs”.

Buuuun… văd ofertă cu „cardul e pe gratis”, zic „hai să încerc”. Aplic online, și aștept să fiu contactat „în 5 zile lucrătoare”. În a 5-a zi vine PIN-ul prin poștă, dar… nu mă sună nimeni. Ca urmare, mă duc la bancă. Și încep cu ce mă rodea pe mine.

„Nu vă supărați, CE avantaje are cardul acesta față de cel pe care îl am deja (Visa Electron)?”
„3D Secure”
„Și nu există ceva similar și pentru VISA?”
„Nu” (??!!)
„Bun, și în afară de asta?”
„E embosat, și îl puteți folosi în mai multe locuri. De exemplu la rezervări de hotel”

Sunt chiar curios – a mai văzut cineva vreun reader care să necesite card embosat și/sau vreun site de plăți care să accepte Mastercard și să nu accepte Visa?

Anyway, povestea continuă. Iau cardul, merg acasă și mă apuc să îl înscriu în 3D Secure. Primul lucru pe care îl constat e că „romcard.ro” nu merge (vrea neapărat „www.romcard.ro”). Minor annoyance – merg mai departe…

Încep înscrierea. Dau toate datele necesare, dar înainte de „submit” dau și eu click pe „termeni și condiții”. Normal, nu? Ei bine, la apăsarea butonului de revenire la formular, primesc un mesaj de eroare, și trebuie să o iau de la capăt cu introducerea datelor. Minor annoyance…

Termin înscrierea, și… mă lovesc de alt mesaj de eroare: „Respins datorita incercarilor repetate de autentificare. Pentru mai multe informatii va rugam sa ne contactati la telefon 021 xxxxxxxx sau pe email la xxxxxxxx@romcard.ro.”

Sun la telefon, și nu răspunde nimeni. Doar un fax uitat pe acolo. Este ora 16:20 într-o zi de luni, deci nu-mi fac iluzii că „poate răspunde cineva mai încolo”. Trimit un mail pe adresa de contact, și încerc să sun la ING.

Cât sună telefonul la ING, mai dau cu nasul pe site-ul băncii, și aflu că activarea 3D Secure se face la 2 zile de la emiterea cardului. OK, ăsta o fi motivul, dar…. ce naiba e cu mesajul ăla de eroare???

Sun la ING, și sunt trimis înapoi la același număr de telefon de la Romcard. No luck there…

Ora 20:30 – îmi vine mail de răspuns de la Romcard. Mail care conține doar atât – „contactați-ne la telefon”.

Ora 22:30 – ajung acasă, și sun din nou la Romcard. Aflu că nu au ajuns datele de la bancă la ei, și trebuie să sun la ING (again!!!!!). La întrebarea „și de ce naiba voi îmi spuneți că au fost prea multe încercări de autentificare??”, aflu că „este un mesaj de eroare standard”(!!)

Ora 23:55. Stau să scriu post pe blog. După o zi întreagă, 3D Secure tot nu e activat. Și eu am ajuns la concluzia că banii mei depind de:

  • o bancă la care nu a știut nimeni să îmi dea un răspuns la întrebarea „de ce naiba nu merge??”
  • un sistem informatic pentru care „prea multe încercări de autentificare” înseamnă de fapt „n-am primit datele de la bancă”
  • un procesator de plăți la care răspunde cineva la telefon doar dacă ai noroc

Așa-i că pot să dorm liniștit?

18 Comments »

  1. carpalex Said,

    December 22, 2009 @ 0:54

    Tot nu inteleg, de ce e mai secure chestia asta decat Token-ul cu OTP-uri de la Home Bank?

  2. bogd Said,

    December 22, 2009 @ 1:05

    Cele două tehnologii sunt… complementare. Token-ul te ajută când vrei să faci operațiuni bancare, dar nu atunci când vrei să faci o plată online (la un comerciant).

    „Tradițional”, o plată online necesită numărul cardului, numele deținătorului cardului, data expirării, și eventual CVV-ul. Toate sunt informații care există fizic pe card – ai rămas fără card, oricine poate face plăți cu el. Prin 3D Secure, la „what you have” se adaugă și un „what you know”(*) – acel SecureCode.

    (*) Pentru cei care nu știu referința – se consideră că un sistem de securitate ar trebui bazat pe “who you are”, “what you have”, SI “what you know”. Rar veți găsi un sistem care să le implementeze pe toate trei, dar sistemele care implementează două dintre ele („two-factor authentication”) sunt din ce în ce mai răspândite…

  3. carpalex Said,

    December 22, 2009 @ 2:09

    Da, dar multi comercianti accepta tranfer bancar din contul tau in contul lor, unde nu e nevoie de datele inscrise pe card.
    Intr-adevar, pentru cei care nu accepta transfer bancar, e o problema…

  4. nexus Said,

    December 22, 2009 @ 7:38

    Suspectai “mari realizari tehnologice” dupa “porcurosii finantisti” (care nu stiu ce le faceau banilor) si “declaratia de dragoste” (care e o amarata de asigurare de viata cu marketing execrabil)?
    Reclama la 3D Secure imi aminteste de reclama BCR pentru Internet banking – dupa ce o vezi, ai impresia ca sunt primii care au inventat asa ceva…

  5. ovidiu Said,

    December 22, 2009 @ 9:49

    E foarte ciudat, la penultima tranzactie pe care am efectuat-o cu visa electronul meu de la ing (pe net) mi-a zis ceva de certified by visa. nu mi-am batut capul.
    Si da, mie mi-a fost cerul o singura data card embosat. La un trenulet in Zermatt/Elvetia :))

  6. bogd Said,

    December 22, 2009 @ 11:19

    @carpalex: de acord, dar în general plata prin ordin de plată este ceva mai complicată decât plata prin card, și implică și niște costuri suplimentare.

    @nexus: nu mă așteptam la cine știe ce noutăți (naibii, știu de 3D Secure de vreo 2 ani, și tot de atâta timp îi întreb pe cei de la ING când naiba au de gând să introducă și ei un „verified by VISA” 🙂 ). Mă așteptam totuși la… ceva care să și meargă? 🙂

    @ovidiu: și aveau și imprintere? (chiar sunt curios – până acum n-am văzut așa ceva decât prin filme 🙂 )

  7. Programare Sociala Said,

    December 22, 2009 @ 14:03

    Aveam și eu un Eurocard (Mastercard) acum vreo 5 ani la dobitocii de la Raiffeisen. Atunci am avut posibilitatea să îl înrolez în 3D Secure, dar nu am făcut-o niciodată. Am preferat utilizarea clasică, numar, expirare și cvv2. Mi s-a părut suficient, atâta timp cât „what you know” însemna că știu că acel card stă doar la mine în casă. 🙂

  8. danielm Said,

    December 22, 2009 @ 16:22

    In legatura cu cardul embosat e cam adevarata povestea. M-am lovit personal in cateva locuri (hotel, inchiriat masini) dar in special in state.

  9. bogd Said,

    December 22, 2009 @ 16:53

    Corect – îmi aduc aminte că hotelul și închirierea de mașini au fost exact exemplele date de persoana de la bancă. 🙂 N-am contrazis-o, că nu am încercat până acum să plătesc cu cardul prin străinătate (doar online 😛 )

  10. song2 Said,

    December 22, 2009 @ 17:42

    Si la plata autostrazii la automate (cel putin in Franta) se accepta numai carduri embosate.

  11. Tb Said,

    December 22, 2009 @ 17:56

    În țări mai streine am întâlnit chestia numită MasterCard SecureCode care o cam devenit obligatorie pt toate cardurile MasterCard emise în acea țară (scandinavă).
    Legat de embosat, nu puteai cere un card MC embosat fără să aibă neapărat “3D Secure” ?
    Nu de alta, dar cum ziceai tu, nu prea îți dă încredere, mai ales când ideea e bună , implementarea e făcută de unii care nici nu știe ce e aia securizarea plăților electronice.

  12. bogd Said,

    December 22, 2009 @ 18:24

    @Tb: nu mă interesa foarte mult embosatul (după cum spuneam, eu plătesc online sau folosesc un bancomat – ca urmare, nu m-am lovit niciodată de problema respectivă 🙂 ). Mă interesa 3D Secure, pentru că ideea mi se părea una foarte bună. Implementarea însă cam lasă de dorit…

    Dacă nu vreau 3D Secure, presupun că e suficient să nu înrolez cardul în sistem, și va funcționa ca un card „obișnuit”. Problema este că… vreau! 🙂

  13. Madko Said,

    December 24, 2009 @ 10:29

    Ultima sansa, inscrie-te in concurs, [Link deleted by admin]

  14. faithless_soul Said,

    December 25, 2009 @ 2:00

    Incearca sa-l folosesti la cumparaturi si s-ar putea sa ai o supriza: WebCard-ul meu l-am dat la inlocuit pentru ca din 5 incercari de a plati la comercianti (diferiti) patru mi-au respinse cu “Chip Error”. Iar fata din Office care l-a luat nu a parut surprisa, a mormait ceva de genul “asteptati trei saptamani isi revine sau il inlocuim”

  15. UberGeek » Surprize, surprize… Said,

    January 3, 2010 @ 13:28

    […] Intru pe site-ul Romcard, activez „Verified by Visa”, și totul merge OK. În schimb, activarea MasterCard SecureCode încă eșuează, cu același mesaj de eroare descris în alt post. […]

  16. UberGeek » The Age of Insecurity Said,

    February 18, 2010 @ 0:49

    […] pe diversele vulnerabilități de pe site, veți constata un lucru foarte interesant (pe care îl menționam și eu acum ceva timp). Practic toate tehnologiile noi au introdus (și chiar au fost promovate prin) […]

  17. Bogdan Said,

    November 3, 2010 @ 6:53

    Normal ca exista acelasi sistem si pentru visa, te poti inrola aici: https://verified.visa.com/aam/src/app/ve.aam?partner=default&resize=yes
    Toate platile facute prin sistemele astea de securitate nu se mai returneaza… pe card, decat pe un cont bancar, asa stiu…

  18. bogd Said,

    November 3, 2010 @ 10:13

    @Bogdan: Nu numai că există, dar a fost introdus și de către ING pentru card-urile lor Visa Electron. M-am înrolat în sistem (nu de alta, dar de la un punct încolo nu prea ai de ales – îți este vârât pe gât).

    Iar referitor la returnarea plăților, vezi ce spuneam aici: http://ubergeek.ro/2010/02/18/the-age-of-insecurity/ . Sistemul are multe vulnerabilități, și nu este gândit în favoarea utilizatorului. Ci în favoarea băncii/comerciantului, care nu mai trebuie să returneze banii în cazul unei tranzacții frauduloase 😛

RSS feed for comments on this post · TrackBack URI

Leave a Comment