Pinnen in buitenland nog jaren onveilig - update

Elektronisch afrekenen met een EMV-chip in het buitenland is waarschijnlijk nog jaren onveilig, zegt Jan Lundequist, Vice President en hoofd Chip Product Management bij MasterCard International. Skimmers kunnen in het buitenland een printplaatje in de pinautomaat aan de kassa (pinterminal) laten zakken en daarmee alle pincodes die worden doorgegeven opslaan. Wordt de pinpas gestolen dan kan vervolgens de rekening van de kaarthouder worden geplunderd.

Verschillende bankpassen in omloop

In Nederland werd dit gat gedicht. Maar volgens Lundequist kan ook het Nederlandse skimgat nog niet helemaal zijn gedicht. Dat komt omdat er twee verschillende EMV-kaarten in omloop zijn. Een geavanceerde versie die wel versleuteling aan kan (DDA), en een verouderde versie die alleen kan omgaan met pincodes in platte tekst (SDA). Een meerderheid van de EMV-kaarten ter wereld maakt gebruik van die SDA-variant die al tien jaar in omloop is. "Dus de meerderheid van de kaarten probeert de pincode niet eens te versleutelen", aldus Lundequist in een interview met Webwereld.

In het laatste geval van SDA-kaarten wordt de pincode alleen onversleuteld uitgewisseld tussen kaart en pinterminal en kan de pincode, ook in Nederland, er nog steeds tussenuit worden gevist door skimmers. In Nederland wordt geen gebruik gemaakt van die verouderde EMV-chips. "In Nederland maken wij gebruik van DDA-kaarten", bevestigt een zegsvrouw van Currence.

Volgens Currence is het afrekenen met SDA-kaarten in Nederland wel veilig omdat ook die kaarten gedwongen worden om hun pincode versleuteld te laten verifiëren. Hiermee staat Currence lijnrecht tegenover de bewering van Mastercard. Volgens de woordvoerster van Currence wordt deze discrepantie mogelijk veroorzaakt door de verschillen tussen debit en credit cards. "Mogelijk heeft Mastercard het over credit cards terwijl wij alleen over debit cards gaan."

Nederlanders blijven kwetsbaar

En hoewel het in Nederland veilig is om te pinnen met een geavanceerde chipkaart omdat het systeem een update heeft gekregen, is het pinnen voor Nederlanders in het buitenland nog steeds onveilig. De eigenaren van het EMV-betalingsprotocol: Visa, Mastercard, American Express en JCB International (samen EMVCo) hebben woensdag al laten weten dit gat niet te dichten.

Dus tenzij de lokale betalingsautoriteiten het systeem ook op eigen initiatief repareren blijven Nederlandse pinners in het buitenland kwetsbaar.

Lundequist, die benadrukt alleen namens Mastercard te kunnen spreken, legt uit waarom het extreem moeilijk is om dit gat te dichten. "In het Mastercard netwerk hebben we bijna 20 miljoen EMV-pinterminals overal ter wereld en bijna 600 miljoen EMV-kaarten, en veel daarvan ondersteunen het versleutelde protol niet dat gebruikt wordt in Nederlandse kaarten", legt hij uit. Het gaat hier om een zogeheten legacy probleem. Ten tijde van de ontwikkeling van de EMV-standaard werd er een beveiligingscompomis gesloten met dit gat als gevolg. Het hele systeem end-to-end versleutelen was destijds te duur.

Gat dichten enorme operatie

"Er is in principe geen mogelijkheid om dit snel op te lossen. Maar we denken ook niet dat dat nodig is, omdat dit een van de meest geavanceerde skimmethoden is", zegt Lundequist. Hij wijst erop dat er veel simpelere manieren zijn om iemands pincode te bemachtigen, zoals iemand die meekijkt over iemands schouder of het aanbrengen van een cameraatje bij het numerieke toetsenbord van de pinterminals.

Om het probleem helemaal uit de wereld te helpen zouden er miljoenen bankpassen vervangen moeten worden, en ook de miljoenen terminals zouden een software-update moeten krijgen. Lundequist wijst er ook op dat elk land waarschijnlijk andere technieken gebruikt naast het EMV-protocol, wat het dichten van het gat verder bemoeilijkt.

Het duurt nog jaren

Het enkel uitrollen van de Nederlandse reparatie van het protocol in de rest van de wereld, waardoor de geavanceerde kaarten in ieder geval daar ook veilig zijn, is ook niet echt een mogelijkheid. "Ik denk dat dat ook erg moeilijk gaat worden omdat veel terminals vervangen moeten worden", aldus Lundequist. "Op korte termijn is er niets dat we hieraan kunnen doen." Op de vraag of de conclusie juist is dat het dus nog jaren gaat duren voordat dit specifieke gat is gedicht antwoordt Lundequist: "Correct."

Verder benadrukt hij dat de credit card-maatschappijen zich nu vooral concentreren op het tegengaan van het kopiëren van EMV-chips. Dit is nu nog niet mogelijk. Daarom hebben skimmers van pincodes relatief gezien niets aan de code alleen, zonder de kaart, en daarom blijft het gat open.

Update 15.21 uur: Uitleg van Currence toegevoegd. Volgens de Nederlandse bewaker van het betalingsverkeer worden SDA-kaarten in Nederland wel degelijk gedwongen hun pincode alleen versleuteld af te geven.