Hola,
El fin de semana pasado recibí una tarjeta de débito que no había solicitado. Al abrir el sobre comprobé que me enviaban un reemplazo para un plástico EMV, siendo el envío 100% proactivo por parte de la entidad, es decir, no provocado por extravío, robo o caducidad. Tiendo a pensar que tampoco se trata de un reemplazo masivo provocado por fraude, ya que llevan tiempo enviando información advirtiendo del reemplazo progresivo de los plásticos y sobre todo, la tarjeta a la que sustituye este nuevo plástico sigue operativa.
Me alegró comprobar que, lejos de enviar una tarjeta operativa, el banco depositó en mi buzón una tarjeta que requería activación antes de poder ser usada. Esta es sin duda una práctica más que aconsejable que impide el uso fraudulento del medio de pago en caso de que alguien comprometa nuestro buzón. Los métodos de activación que me ofrecieron son los típicos: la banca a distancia, el teléfono o el cajero automático. Eché la tarjeta a la cartera, y ese mismo día, aprovechando la cercanía de un cajero, procedí a activarla.
Con lo que no contaba era con tener que abortar la operación al recibir dos veces el mensaje de PIN erróneo, pese a que la carta que acompañaba la tarjeta indicaba claramente que el PIN no había cambiado, algo que me parece natural y normal. ¿Por qué cambiarlo si no hay compromiso? Basta con enviar la tarjeta inactiva, y dejar que el cliente la active. Forzar un cambio de PIN es improcedente y contraproducente para el reemplazo, porque como podéis imaginar, en el momento que el PIN no funciona hay que proceder a solicitarlo. Si tienes la oficina a mano consumirás el tiempo de los gestores, que están allí fundamentalmente para vender productos financieros, no para faciltiar PINes. Si echas mano del teléfono, tendrás que gastar dinero y tiempo para pedir que te manden un PIN a casa, porque no te lo darán por teléfono. Si tus clientes activan sus tarjetas en la banca a distancia liberas tus oficinas y tu call center de trabajo que no repercute en ingresos, pero a cambio necesitas que tus clientes tengan el perfil tecnológico suficiente para completar el proceso. Mire por donde se mire, cambiar el PIN en un evento de reemplazo no provocado por fraude es injustificado y provoca, además de molestias, gastos operativos innecesarios.
Quiero pensar que lo que ha ocurrido es un error, porque sería muy mezquino forzar intencionadamente el cambio de PIN en el escenario descrito. No obstante, imaginaos lo que puede pasar si esto se lo haces a un millón de clientes: Probablemente recibas alguna queja que otra. Sí, errar es humano, pero hay que tratar de impedir este tipo de errores y precisamente es la ausencia de este tipo de problemas lo que convierte un servicio en excelente en vez de chapucero.
No existe ningún secreto en la mejor manera de hacer las cosas: esforzarnos al máximo en equilibrar la seguridad, la experiencia del cliente y el valor del negocio subyacente.
Veo que a ti como a mi, nos cabrea que se utilice «el nombre de la seguridad en vano». Cuando pretenden justificar una práctica con el argumento de la seguridad pero que en realidad no hay dada que justifique dicha acción es cuando se hace un flaco favor realmente a la propia seguridad. La gente debe entender el por qué y éste debe ser razonable. Si se impone una medida que se considera absurda, es cuando una ventaja se transforma en un obstáculo y el usuario reniega a usar dicha medida. Es lo que creo que Schneier denomina el «teatro de la seguridad». Hacer cosas para aparentar una mejor protección que en realidad es nula.
A mi lo que m�s me preocupa de estas nuevas tarjetas m�s que el proceso de activaci�n es tener que meter el PIN en los TPVs cuando est�s rodeado de gente que te puede estar observando, menuda seguridad!
Lo de la activación es relativo. Hace un par de años la agencia de viajes (prefiero no citar nombres) me envío una renovación de una tarjeta de banda magnética (la tradicional, sin chip) a través del banco a mi antiguo domicilio y la usaron durante algo más de un mes para pagar la autopista, gastando más de 600 ¤. Me enteré porque la tarjeta estaba dirigida a una cuenta que no usaba y que quedó en números rojos, con lo que el banco se puso en contacto conmigo.
Reclamamos al banco y se hicieron cargo de todo, ya que ni había recibido la tarjeta en mi domicilio actual ni la había activado yo. Incluso tuve que justificar la imposibilidad, por motivos laborales, de estar a 700 km de distancia, donde habían usado la tarjeta un par de veces.
Este método de envío de tarjetas es peligroso desde este punto de vista: servicios que no verifican en tiempo real la validez de la tarjeta.
Yo la duda que me surge es cuando dices «forzar intencionadamente el cambio de PIN». Bueno, no es duda, más bien paranoia :-p ¿ No será que se ha podido comprometer una seríe de tarjetas y sus respectivos PIN y para no reconocerlo recurren a esta «estrategia» ?
Bueno, lo dejo caer y disculparme si he dicho alguna barbaridad… efectos secundarios de volver de vacaciones :-p
Mmm… se me olvidó indicar que en tal caso y mediante esta «estrategia» se forzaría el cambio de PIN por parte del usuario sí o sí.
Javi,
Cuando llevan anunciando desde hace tiempo el reemplazo (meses desde que recibí el primer folleto) todo parece indicar que no se trata de un compromiso masivo sino algo programado. No obstante te comprendo, porque son muchos los compromisos masivos que se disfrazan de «atención al cliente» :)
Un saludo,
Jesús,
Afortunadamente van siendo cada vez menos los que optan por esos métodos temerarios. De todos modos estas cosas siguen pasando, aunque cueste creerlo.
Me alegro que en tu caso todo se aclarase sin problemas :)
Un saludo,
RuBiCK,
Siempre te puedes tapar con la mano :) aunque tienes razón. Ayer mismo en un aeropuerto, al pagar unas tapillas, me pasaron el TPV por encima del mostrador, y dado que el cable no daba más de sí (bendita tecnología inalámbrica), tuve que teclear el PIN en una posición en la que cualquiera que hubiera tenido detrás lo hubiera cazado sin problemas.
Un saludo,
Javier,
No sabes hasta qué punto :)
Lo que más me indigna es que se use para engañar con fines comerciales a los almas de cántaro que suelen poblar la clientela. A veces esto es obvio y descarado, y es totalmente repulsivo.
Un saludo,