Awaria, do jakiej doszło w połowie stycznia w londyńskim ośrodku przetwarzania największego na świecie systemu kart płatniczych z milionem bankomatów wypłacających gotówkę, uświadomiła nam po raz kolejny, że nie istnieje system niezawodny. Przekonali się o tym posiadacze kart Visa, którzy nagle stwierdzili, że po wypłacie gotówki z bankomatu, bank obciążył rachunek kwotą kilkanaście razy większą niż pobrana gotówka. Trudno dziwić się tym, którzy zdenerwowani dzwonili do banku z pytaniem dlaczego z ich rachunku zniknęły pieniądze? W wielu bankach - jak twierdzą informatycy - pierwszy sygnał o tym zdarzeniu pochodził od klientów a nie z Visy.
Winę za całe zamieszanie ponosi bezsprzecznie Visa i na szczęście temu nie zaprzecza, jednak jak dotąd nie chce ujawnić przyczyny tego co stało się w feralny wtorek. Tragedii nie ma, bo banki wzięły na siebie cały ciężar tego zdarzenia i to zarówno finansowy, jak i informacyjny, chociaż należało się tego spodziewać ze strony Visy. Pozostają pytania, na które odpowiedź chciałby chyba znać każdy użytkownik karty, na której jest logo Visa. Kto zawinił, człowiek czy urządzenie? Co spowodowało, że do takiego zdarzenia doszło? Czy można było zapobiec takiemu wypadkowi? Jaka była reakcja sprawcy zdarzenia, co zrobił? Czy po tej awarii coś zostało zmienione, czy należy spodziewać się, że sytuacja powtórzy się - oczywiście w najmniej spodziewanym momencie. Jak dotąd Visa na takie pytania nie odpowiada, co może okazać się brzemienne w skutkach.
Zdarzenie
We wtorek, 15 stycznia 2008 roku, nie tylko polskie banki - zdarzenie dotknęło również inne kraje europejskie - otrzymały z londyńskiego ośrodka Visa wadliwe pliki transakcji gotówkowych dokonanych w bankomatach. Operacje bankomatowe (wypłata gotówki) zostały kilkanaście razy zwielokrotnione. W Polsce najprawdopodobniej najszybciej zauważyły to mBank i MultiBank, które dysponują nowoczesnymi systemami transakcyjnymi, pozwalającymi na przetworzenie jeszcze tego samego dnia plików, jakie przychodzą od Visy. A więc transakcje dokonane w bankomacie w poniedziałek, 14 stycznia, już następnego dnia ok. godziny 19 klient widzi jako zaksięgowane. Co nie znaczy, że tak jest wszędzie, bo są banki, które przetwarzają te informacje dopiero w nocy albo następnego dnia, więc do serwisu internetowego takie informacje trafiają później.
Co miał zrobić bank? Jak zwykle były co najmniej dwie możliwości. Pierwsza to oczekiwanie na poprawne pliki. Niektóre banki nowych plików nie miały jeszcze 21 stycznia... a więc klienci tych banków pozostaliby ze zwielokrotnionym obciążeniem co najmniej przez tydzień. Drugie rozwiązanie to działanie awaryjne polegające na tym, że bank anuluje wszystkie operacje znajdujące się w plikach, które Visa przesłała 15 stycznia. Na szczęście dla klientów, banki skorzystały z tej drugiej możliwości i anulowały wszystkie transakcje (gotówkowe i bezgotówkowe) jakie były w przesłanym pliku, bez względu na to czy były one poprawne, czy też nie. I czekają na poprawione pliki, jakie ma przesłać Visa.
Visa z wodą w ustach
Analizowanie tego przypadku bez poznania przyczyn, przy znajomości tylko skutków, może doprowadzić do błędnych wniosków. Tym bardziej więc dziwne jest to, że Visa, która obsługuje w Polsce kilkanaście milionów kart, nabrała wody w usta i tę bezprecedensową sprawę pozostawia bez wyjaśnienia. Wiele wskazuje na to, że mógł to być elektroniczny chochlik, który multiplikował transakcje, ale może był to błąd programu komputerowego, który pojawił się nagle? Tego nie wiem. Na szczęście banki pilnują interesu swoich klientów i one natychmiast po uzyskaniu sygnału o nieprawidłowościach uruchomiły swoje własne procedury awaryjne. Szkoda tylko, że uruchomienie tych procedur zostało wywołane przez klientów albo własne służby informatyczne banków, a nie przez sprawcę, którym była Visa. Gdyby tak się stało, być może całe zdarzenie nie ujrzałoby nawet światła dziennego.
Awaria, którą odczuły nie tylko polskie banki, bo informowały o tym również Toyota Bank, Volkswagen Bank i Raiffeisen Bank, prawdopodobnie mogła być niezauważona przez użytkowników kart. Pliki przesyłane z ośrodków rozliczeniowych, takich jak Visa, są zabezpieczone odpowiednimi certyfikatami. Potwierdzenie zgodności certyfikatu gwarantuje, że zawartość pliku nie została zmieniona w czasie przesyłania i znajdujące się w nim dane i informacje pochodzą od nadawcy, którym była Visa. W tym przypadku można by zadać kolejne pytanie: czy Visa wiedziała o tym co jest w plikach, które wysyła i opatruje certyfikatem? Jak się dowiedzieliśmy, banki przed skierowaniem kolejnych paczek plików, które przychodziły z Visy po tym zdarzeniu z 15 stycznia, do dalszego przetwarzania same sprawdzały poprawność zapisu.
Bankowi informatycy sami zbudowali takie kontrolne narzędzia, które teraz wykorzystują do sprawdzania plików rozliczeniowych. Okazało się, że zwykłym administratorom bankowych systemów informatycznych przygotowanie takich weryfikujących poprawność budowy pliku zabezpieczeń nie zajęło nawet dużo czasu... Prawdopodobnie Visa ma też zabezpieczenia programowe, które powinny zatrzymać takie pliki, ale musiały one zawieść albo pojawił się jakiś błąd, który spowodował multiplikację plików.
Konkurenci Visy solidarnie nie chcą komentować zdarzenia. Za chowanie głowy w piasek i udawanie, że nie ma sprawy zapłaci nie tylko Visa, ale wszyscy obsługujący operacje kartami, bo liczba transakcji bankomatowych po ujawnieniu awarii zmniejszyła się o około 15 proc. Jak na całe zdarzenie zareagują posiadacze kart z logo Visa jeszcze nie wiadomo.
Lech Piesik
