(Niedo)rozwój bankomatów
Fragment tego wpisu został opublikowany jako felieton w CRN 12/2020.
Co prawda wielu już rzadko wybiera gotówkę z bankomatu, to jednak czasem, a inni często korzystają z tego urządzenia, znanego już od 1974 roku. Wydawałoby się, że bankomaty po 46 latach powinny już być godne zaufania, niezawodne w działaniu i odporne na wszelkie próby oszustwa, gdyż są bramką do środków na naszych kontach. Okazuje się, że ich rozwój się spowolnił, a może nawet cofnął.
Nieco historii z kontaków z bankomatami
W 1993 przybyłem do USA z moją nową, jedną z pierwszych w Polsce, kart kredytowych. Działała poprawnie w żelazkach w barze, sklepie, przy kupnie biletu. Ale chciałem ją sprawdzić w bankomacie. Obawiając się czy bankomat jej nie zatrzyma, wszak to jakaś obca karta, w San Francisco poprosiłem kolegę, akurat był wiceprezesem VISY, o asystę. Wkładam kartę, a tu karta nie jest wchłaniana przez bankomat, cały czas trzymam ją w palcami i tylko czytany jest jej pasek magnetyczny, po czym mogę ją zabrać. Co – nie dostanę pieniędzy? Dostanę, jak teraz wpiszę pin oraz bankomat sprawdzi jego poprawność oraz prawo do wypłaty (była to karta przedpłacona 2000$). Pieniądze dostałem. Ta funkcjonalność całkowitej kontroli karty przez właściciela była cechą tylko tej sieci bankomatów VISY i przynosiła im wyższe obroty. Nikt nie lubi jak się traci z oczu plastik z jego majątkiem.
W 2001 w Dubaju, a raczej w małej mieścinie na piaskach, kilka osób z polskiej delegacji chciało w miejscowym bankomacie pobrać nieco gotówki. Jednemu z nich pomylił się trzy razy kod pinu i bankomat zatrzymał kartę. Bank zamknięty, pustynia wokół, karty nie ma. Należała do tego samego banku co moja, miałem numer telefonu do zastrzeżenia karty. Zadzwoniłem z komórki z tej pustyni do banku w Polsce – za pierwszym razem połączenie. Oddałem telefon utracjuszowi karty, krótka weryfikacja osoby i karta została zastrzeżona. Ale arabski bankier musiał być zdziwiony następnego poranka – jakiś dziwne napisy na plastiku.
W 2016 w Toronto w sklepie przy płatności kartą kredytową w posie po wprowadzeniu pinu, karta została odrzucona. W bankomacie karta została obsłużona bez problemu. Potem w Banff w hotelu również odmowa. Z telefonu do banku w Polsce nic nie wynikło – nie wiedzieli dlaczego czasem posy tej karty nie lubią. Dopiero po powrocie, po konsultacjach ze znajomymi informatykami w bankach doszliśmy do tego, że polskie karty miały bardziej zaawansowany protokół komunikacji z posem, od tych używanych na kontynencie amerykańskim. Po prostu tamten pos nie rozumiał tej karty. Ale to przecież była karta w sieci VISA – amerykańskiej korporacji.
Jak bankomat ukradł 1000 zł
W dniu 16.09.2020 w Grodzisku Mazowieckim chciałem pobrać 2000 zł bankomatu sieci XX, innej niż mojego banku. Bankomat stwierdził, że 2000 zł to za dużo i anulował operację.
Zacząłem od nowa – włożyłem kartę. Bankomat wyświetlił – Sprawdzanie poprawności operacji i zaprezentował reklamy czegoś tam. Po wpisaniu pinu i enter, bankomat znowu dał sobie czas na wyświetlanie reklam, po czym pozwolił na wybranie kwoty do wypłaty – wprowadziłem 1000 zł. Znowu zaczął wyświetlać reklamę, po czym zaczął gasnąć, a na ostatnim „oddechu” wysunął moją kartę, którą szybko złapałem. Bankomat zgasł, po chwili na ekranie pojawiło się stare logo American Megatrends i zaczął się ładować BIOS, a po nim system (chyba Windows XP). Następnie zostało wyświetlone OUT OF SERVICE, a po potem została wypluta pusta kartka potwierdzenia transakcji i bankomat przeszedł w stan oczekiwania nowej operacji. Mojego 1000 zł nie było. Nie było informacji o stanie tej operacji.
Próbowałem zadzwonić do firmy bankomatu XX, nie dało rady. Do swojego banku mogłem dopiero zadzwonić z domu, bo: info o nagrywaniu, info o RODO, jak chcesz … naciśnij 1, jak to…2, potem wpisz id klienta i #, a potem pin telefoniczny i # (kto to może spamiętać?) – uff jest żywy konsultant. Opowiadam mu co mnie spotkało, a konsultant – tak 1000 zł jest zablokowane, a reklamację będzie można złożyć dopiero po upływie 7 dni. Żadne wcześniejsze interwencje nie są możliwe .Mój , od kilkunastu lat, bank nie był zainteresowany w ochronie moich środków. Wszak zostałem pozbawiony 1000 zł, bo po zablokowaniu nie mógłbym i tak podjąć tej kwoty w innym bankomacie albo zapłacić przez POS.
.Po trzech dniach z konta zeszło 1000 zł – firma bankomatu XX zabrała „swoje” pieniądze. Zadzwoniłem do swojego banku. Info, info, naciśnij, naciśnij, id, pin – na linii jest konsultant. Zaczynam od początku, a tu jeszcze dodatkowa identyfikacja. Zgłaszam ustnie reklamację, bo tylko to mogę zrobić. Dostaję mejlem identyfikator zgłoszenia i informację, że odpowiedź otrzymam do 14 dni roboczych. Konsultant radzi jeszcze zadzwonić do firmy XX, właściciela bankomatu – może oni szybciej zareagują.
Dodzwoniłem się. Konsultant stwierdził, że nic nie może zrobić, bo to mój bank ma zajmować się tą reklamacją. Na moje naleganie sprawdził u siebie w systemie, że rzeczywiście 16.09 o godz. 8.52 była w tym bankomacie operacja wypłaty 1000 zł, podczas której bankomat podobnież utracił połączenie z moim bankiem – pojawił się u niego błąd 312, po czym się zresetował. Niestety nie ma żadnej informacji o stanie samej wypłaty 1000 zł, czy doszła do skutku. Konsultant zaczął mi objaśniać, że urządzenia mogą mieć awarie, ale wszystko jest zapisane w logach, zostanie przeliczony stan kasety (zapewne po 5-6 dniach) i na tej podstawie zostanie podjęta decyzja czy doszło do wypłaty.
Dla mnie informatyka z wieloletnim doświadczeniem cała ta operacja, łącznie z tymi wyjaśnieniami jest absurdalnie nielogiczna, gdyż:
- Do wyjęcia gotówki otwiera się dość masywna klapka – a więc powinien być czujnik informujący o jej otwarciu, wysunięciu i pobraniu banknotów. W wielu bankomatach czas wysunięcia pliku z banknotami jest ograniczony do kilku sekund, a gdy nie zostaną zabrane, to wracają do bankomatu i operacja wypłaty jest zerowana. Dlaczego tutaj bankomat nie odnotował stałego zamknięcie klapki – a może właśnie odnotował jej chwilowe otwarcie (co nie miało miejsca).
- Warto też zapytać, czy kamera wmontowana w bankomat nie pokazuje czynności odbierania banknotów? Jak długo są przechowywane zapisy z kamery bankomatu?
- Podczas wykonywania operacji wypłaty gotówki, bankomat się wyłączył, zresetował – podobno z powodu utraty połączenia z bankiem. Żaden z istniejących komputerów PC (a takie są wmontowane w bankomaty) nie resetuje się z powodu utraty połączenia, a większość również z powodu chwilowej utraty zasilania. Przyczyną resetu musi być awaria sprzętu lub błąd w oprogramowaniu ( co w przypadku bankomatów już nie powinno się zdarzać). I właśnie nawet z tego powodu taki bankomat powinien być wyłączony i sprawdzony przez serwis.
- Nie znam akurat typu tego bankomatu, ale w kodach błędów bankomatów , błąd w połączeniu oznacza zablokowanie wydawania gotówki! Jeżeli podstawą uznania reklamacji jest przeliczenie kasety, to im szybciej zostanie to wykonane, tym rzetelniejsza może być ta decyzja.
- Jak najszybsze zablokowanie bankomatu do czasu przyjazdu serwisu z wymianą kasety powinno leżeć w interesie firmy XX oraz mojego banku. A tu sobie przyjęto co najmniej tydzień (bo tyle trwa blokada środków) na rozpoczęcie weryfikacji tej operacji.
Powyższe wątpliwości natury technicznej prowadzą do wniosku, że po już kilkudziesięciu latach użytkowania bankomatów ich stan techniczny oraz algorytm ich działania pozostawia sporo do życzenia. Nie chcę rozwijać tego tematu, ale bankomaty stają się coraz bardziej zawodnym urządzeniem, a o prymitywnych metodach ich modyfikacji przez złodziei w celu kradzieży kodów i środków nie będę już dalej wspominać.
W dniu 28.09 – to 12 dzień po dniu operacji, dostaję mejlem z mojego banku informację … trwa postępowanie reklamacyjne. Do rozpatrzenia reklamacji niezbędne jest pozyskanie od agenta rozliczeniowego (obsługującego punkt akceptacji) stanowiska w sprawie reklamowanej transakcji…Ponieważ proces ten odbywa się pomiędzy dwoma podmiotami: bankiem - wydawcą karty reprezentującym posiadacza karty oraz agentem rozliczeniowym, . termin udzielenia odpowiedzi na złożoną reklamację wymaga wydłużenia….do 35 dni roboczych od dnia otrzymania reklamacji… A moje pieniądze ma już firma XX. Postanowiłem jeszcze raz złożyć reklamację – teraz pisemnie poprzez stronę banku, obszerną, z moim technicznym opisem tego co się stało.
Dwa dni później 01.10 dostaję mejlem …Po wstępnym rozpatrzeniu reklamacji tymczasowo uznaliśmy Pana rachunek. Teraz oczekujemy na informację o wyniku sprawy, którą otrzymamy od instytucji obsługującej bankomat… Rzeczywiście 1000 zł wróciło 29.09 na moje konto. Mój bank chyba został przekonany moją wiedzą na temat działania komputerów w bankomatach i postanowił zaryzykować „pożyczając” mi ze swoich środków 1000 zł.
Wreszcie 15.10, po 29 dniach od tej operacji, dostałem mejla z mojego banku …uznaliśmy Pana reklamację dotyczącą operacji realizowanej z użyciem karty. Kwotę zaksięgowaną 29.09 jako uznanie warunkowe, pozostawiliśmy na Pana rachunku jako uznanie ostateczne. Mamy nadzieję, że dalsza współpraca z Bankiem będzie dla Pana satysfakcjonująca.
Wnioski z tych historii relacji z bankomatami
- System odczytu karty, bez jej wciągania do bankomatu się nie przyjął, chociaż większość posów i podobno większość bankomatów akceptuje zbliżenie karty.
- Nawiązywanie kontaktu telefonicznego z konsultantem banku stało się (podobno dla bezpieczeństwa naszych wkładów) znacznie dłuższe i bardziej skomplikowane – dla starszych osób bez „ściągawki” podanie 8+6 cyfr jest praktycznie niemożliwe.
- Opisana sytuacja braku wypłaty gotówki jest dość częsta w bankomatach różnych sieci. Z reguły po kilkunastu czy nawet 60 dniach, reklamacja jest uznawana i niesłusznie pobrana kwota powraca na konto. Trudno się jednak zgodzić, że trwa to tak długo, a pokrzywdzony nie ma praktycznie żadnych możliwości udowodnienia błędnej operacji – pobrania kwoty z konta bez jej wypłacenia. Nie ma bowiem obowiązku dla właściciela bankomatu zgromadzenia dokumentacji związanej z tą operacją: log systemu, nagranie z kamery, itp. Klient musi liczyć tylko na „dobrą wolę” właściciela bankomatu. Przetrzymywanie środków klienta nawet do 60 dni w tej sytuacji jest po prostu zaborem mienia. A nie wiem w ilu przypadkach takiej reklamacji nie uznano?
- Ciekawe, że jeszcze KNF lub UOKiK nie wymusiła przepisami, że w takiej sytuacji klient ma prawo zażądać natychmiastowego wyłączenia tego bankomatu do czasu jak serwis nie sprawdzi stanu kaset w porównaniu do zapisów loga systemu oraz zabezpieczy pełną dokumentację. Wyjaśnienie stanu operacji i jej anulowanie powinno się odbyć w jak najkrótszym okresie. W zasadzie to zablokowana kwota powinna natychmiast powrócić do klienta, a właściciel bankomatu powinien mu potem ewentualnie udowodnić, że jednak operacja została wykonana poprawnie i środki zostały wypłacone.
- Z technicznego punktu widzenia, praca tego bankomatu jest sterowana programem działającym w środowisku Windows (prawdopodobnie XP). W tym przypadku istotnym było, czy ten program mógł rozpoznać odliczanie i pobór banknotów z kasety oraz czy klapka otworu wysunięcia banknotów przeszła przez stan otwarcia. Działanie systemu jest zapisywane w logu, do którego jest zdalny dostęp z centrali. Stwierdzono, że komputer się zresetował, bo był błąd połączenia - ciekawe z kim, jak kwota na koncie już została zablokowana? Z mojej wiedzy o oprogramowaniu pecetów, żaden z nich się nie resetuje z powodu błędu w transmisji, a próbuje jeszcze raz ją nawiązać.
- W tych bankomatach są ładowane i wyświetlane reklamy w cyklu co 6 sekund w oczekiwaniu na nową transakcję. Podczas autoryzacji karty jest ładowana nowa reklama (albo spot) na okres 10 sekund. Potem następuje powrót do reklamy z cyklu 6 sekundowego. Nie wiem czy w tym bankomacie, ale wstrzymanie operacji wypłaty może nastąpić również z powodu błędu w ładowaniu się treści nowej reklamy! Rozumiem, że sieci bankomatów chcą więcej zarobić, ale dlaczego mamy dłużej stać przez bankomatem i tracić swój czas aby oglądać jakieś reklamy? A jeszcze te reklamy mogą zakłócić lub nawet uniemożliwić naszą operację. I jak tu się ma do tego zachowanie bezpieczeństwa teleinformatycznego, gdy z sieci do komputera bankomatu są ładowane pliki reklam? A jak któryś z tych plików zainfekuje system, to co będzie? Może się okazać, że wypłacający będą pozbawiani nie tylko tych wypłat, ale większych kwot z ich kont. Że jeszcze nie było takiego zdarzenia – jeszcze może nie.
Po tym wydarzeniu jakoś trudno mi uwierzyć w zdanie ….w bankomatach należących do sieci XX najnowocześniejsze rozwiązania technologiczne zapewniają najwyższy poziom bezpieczeństwa, zgodny ze standardami organizacji VISA i MasterCard oraz normami PCI DSS.