In der Schweiz akzeptiert die überwiegende Mehrheit der Zahlterminals Kontaktloszahlungen.
Kontaktlosfähige Kreditkarten bzw. mit Apple Pay, Samsung Pay, Google Pay, Swatch Pay oder anderen Zahlungslösungen ausgestattete Smartphones/Smartwatches/Wearables müssen lediglich kurz an das Terminal gehalten werden. Umgehend übermittelt die Antenne in der Karte (oder im Smartphone/im Wearable) die Zahldaten mittels Funktechnologie (NFC = Near Field Communication). Beträge bis CHF 80 lassen sich so ohne Eingabe eines PIN-Codes einfach und schnell bezahlen. Bei Beträgen über CHF 80 wird bei direktem Einsatz der Kreditkarte – nicht aber bei Nutzung von Smartphone/Smartwatch/Wearable mit biometrischer Identifikation – zusätzlich der PIN-Code abgefragt oder die Unterschrift verlangt.
Kontaktloses Bezahlen ist für den Karteninhaber sicher:
- Als Voraussetzung für kontaktloses Bezahlen hat die Kartenindustrie aufwändige Verschlüsselungstechnologien entwickelt. Jede Zahlung ist dynamisch verschlüsselt, d.h., die Karte generiert für jede Zahlung ein einmalig verwendbares Kryptogramm. Auch wenn diese Daten während der Übermittlung abgefangen würden, ergäbe sich daraus kein Risiko für anderweitige Transaktionen.
- Keine Übertragung personenbezogener Daten (wie z. B. Name des Karteninhabers).
- Unfreiwillige Zahlungen sind bei normalem Gebrauch der Karte ausgeschlossen: Für eine Zahlung muss die Karte in einem Abstand von wenigen Zentimetern (näher als 4 cm) ans Zahlterminal gehalten werden. Gleichzeitig muss das Terminal aktiviert sein, d.h., der Händler muss einen Zahlungsauftrag an das Terminal geben, um eine Belastung zu ermöglichen. Erkennt das Terminal mehr als eine Karte, bricht es den Bezahlvorgang automatisch ab, womit keine Belastung einer sich zufälligerweise in der Nähe eines Bezahlterminals befindlichen Karte erfolgen kann.
- Keine Doppelbelastungen: Auch wenn die Karte mehrmals kurz nacheinander an das Terminal gehalten wird, ist technisch sichergestellt, dass nur eine Transaktion möglich ist.
- Die Karte (oder das Smartphone/die Smartwatch/das Wearable) bleibt während des ganzen Zahlungsvorgangs in der Hand des Karteninhabers.
- Das Unterfangen, aus einer kontaktlosfähigen Kreditkarte Daten herauszulesen – hier wird oft das hypothetische Bild einer Person verwendet, die im Gedränge mit einem Kartenlesegerät agiert – ist in der Praxis kaum realisierbar, weitgehend nutzlos und ohne finanzielle Risiken für den Karteninhaber: Aus einer kontaktlosen Karte der neusten Generation können lediglich die Kartennummer und das Verfalldatum herausgelesen werden. Eine Transaktion zu Lasten des Karteninhabers allein mit Kartennummer und Verfalldatum ist höchstens bei vereinzelten Onlineshops möglich, die ganz bewusst auf die gängigen Sicherheitsstandards für Zahlungen im Internet verzichten. Wichtig ist, dass in solchen Fällen der Karteninhaber – bei Einhaltung seiner Sorgfaltspflichten – von seinem Kreditkartenherausgeber immer schadlos gehalten wird. Kontaktlosfähige Karten führen also für den Karteninhaber zu keinem erhöhten Schadenrisiko. Schliesslich ist in Bezug auf das skizzierte Unterfangen auch zu bedenken, dass es für Betrüger sehr schwierig wäre, an ein funktionsfähiges Kartenlesegerät, das eine effektive Transaktion auf ein betrügerisches Konto ermöglichen könnte, heranzukommen. Solche Kartenlesegeräte sind nur bei Acquirern erhältlich und werden nur nach Prüfung der Legitimität eines Händlers aufgeschaltet.
Mit der Virtualisierung der Kreditkarte auf dem Smartphone (z.B. via Apple Pay oder Samsung Pay) oder einem anderen mobilen Gerät – beispielsweise einer Smartwatch – ist das kontaktlose Bezahlen in eine neue Dimension vorgestossen:
- Die Kartendaten, die für das Bezahlen mit dem mobilen Gerät benötigt werden, sind auch hier durch modernste Verschlüsselungstechnologie geschützt. Dabei wird die Kartennummer durch eine alternative Nummer (Token) ersetzt und im mobilen Gerät gespeichert.
- Die tatsächliche Kartennummer ist weder auf dem Gerät abgelegt, noch wird sie beim Anbieter der Lösung (z. B. Apple oder Samsung) gespeichert.
- Jeder Token wird nur für ein spezifisches mobiles Gerät erstellt und lässt sich auf keinem weiteren Gerät nutzen, was einer betrügerischen Verwendung stark entgegenwirkt.
- Für das kontaktlose Bezahlen wird die Antenne im mobilen Gerät verwendet. Das Gerät wird ans Zahlterminal gehalten und die Bezahldaten werden via NFC-Technologie verschlüsselt ans Terminal übertragen.
- Der Karteninhaber kann eine Bezahlung biometrisch authentifizieren, insbesondere über seinen Fingerabdruck. Damit ist das kontaktlose Bezahlen auch für Beträge über CHF 80 weltweit ohne Eingabe des PIN-Codes bzw. ohne Unterschrift möglich. Eine Authentifizierung via PIN-Code bleibt aber möglich.
