EMV הוא ראשי תיבות של Europay, Mastercard, ו-Visa (אירופיי, מאסטרקארד, ויזה), שלוש החברות שיזמו ופיתחו במקור את התקן הטכני הבינלאומי הזה עבור כרטיסי תשלום חכמים (כרטיסי שבב) ועבור מסופי התשלום (Point-of-Sale – POS) שמסוגלים לקבל אותם.
מאז פיתוחו הראשוני, חברות כרטיסים גדולות נוספות, כגון אמריקן אקספרס, דיסקבר, ו-JCB, הצטרפו לאימוץ ולניהול התקן באמצעות EMVCo, הארגון האחראי על הבטחת יכולת הפעולה ההדדית (Interoperability) והאבטחה של עסקאות תשלום מבוססות שבב ברחבי העולם.
המטרה המרכזית של טכנולוגיית EMV היא לשפר משמעותית את אבטחת עסקאות התשלום ולצמצם הונאות, במיוחד הונאות הקשורות לזיוף כרטיסים (Counterfeit Fraud) ושימוש לא מורשה בכרטיסים גנובים.
מהו EMV ושימושו העיקרי
כרטיס EMV, המכונה לעיתים כרטיס שבב או כרטיס מעגל משולב (ICC), מכיל שבב מיקרו-מעבד זעיר המוטבע בו, אשר מאחסן ומעבד נתונים באופן מאובטח. בניגוד לנתונים הסטטיים על הפס המגנטי, שבב EMV משתמש בקריפטוגרפיה מורכבת כדי לייצר קוד ייחודי, לשימוש חד-פעמי – המכונה קריפטוגרמה (Cryptogram) – עבור כל עסקה.
השימוש העיקרי: אבטחה משופרת
הפונקציה העיקרית של טכנולוגיית EMV היא לספק הגנה חזקה מפני הונאות זיוף כרטיסים (Skimming ושיבוט כרטיסים).
- נתונים סטטיים מול דינמיים: פס מגנטי מכיל את מספר החשבון הראשי (PAN) ותאריך התפוגה של הלקוח כנתונים סטטיים, שניתנים להעתקה בקלות ליצירת כרטיס מזויף. לעומת זאת, שבב ה-EMV מייצר קריפטוגרמה דינמית לכל עסקה. גם אם נוכל יירוט קוד זה, הוא אינו יכול לעשות בו שימוש חוזר לרכישה עתידית או לשבט את הכרטיס, שכן העסקה הבאה תדרוש קוד חדש וייחודי לחלוטין.
- היסט אחריות (Liability Shift): האימוץ הנרחב של EMV מונע על ידי מדיניות "היסט האחריות" (Liability Shift) של רשתות הכרטיסים. מדיניות זו מעבירה את האחריות על נזקי הונאת זיוף כרטיס מנושא הכרטיס לצד – בין אם הסוחר ובין אם מנפיק הכרטיס – אשר אינו תומך בטכנולוגיית EMV בעסקת "נוכחות כרטיס" (Card-Present). זהו תמריץ כלכלי חזק לבתי העסק לשדרג את מסופי ה-POS שלהם.
סוגי כרטיסי EMV
ניתן לחלק את כרטיסי EMV לפי שיטת התקשורת שלהם ולפי שיטת אימות בעל הכרטיס (Cardholder Verification Method – CVM).
1. לפי שיטת התקשורת
| סוג | תיאור |
| כרטיסי EMV במגע (Contact) | כרטיסים אלו דורשים הכנסה או "טבילה" פיזית לתוך חריץ המסוף. השבב יוצר מגע פיזי עם הקורא כדי ליצור חיבור ולעבד את העסקה. זוהי עסקת "שבב-וקוד סודי" או "שבב-וחתימה" הקלאסית. |
| כרטיסי EMV ללא מגע (Contactless) | כרטיסים אלו משתמשים בטכנולוגיית תקשורת שדה קרוב (NFC), המאפשרת למשתמש להצמיד או להחזיק את הכרטיס בסמוך למסוף. הם מסומנים בדרך כלל בסימן הגלים של $\text{NFC}$ ומיועדים לתשלומים מהירים. |
| כרטיסי ממשק כפול (Dual-Interface) | זהו הסוג המודרני הנפוץ ביותר, המשלב הן את שבב המגע והן את אנטנת/שבב ה-Contactless בכרטיס אחד, ומציע גמישות להכנסה או להצמדה. |
2. לפי שיטת אימות בעל הכרטיס (CVM)
שיטת ה-CVM היא הדרך שבה מאומתת זהות בעל הכרטיס בנקודת המכירה.
- שבב וקוד סודי (Chip-and-PIN): הלקוח חייב להקליד קוד סודי (PIN) במסוף. זו נחשבת לשיטת האימות המאובטחת ביותר בעסקאות נוכחות-כרטיס, שכן הקוד מאומת על ידי השבב עצמו (PIN אופליין) או על ידי הבנק המנפיק (PIN אונליין).
- שבב וחתימה (Chip-and-Signature): הלקוח חותם על קבלה או משטח דיגיטלי, והסוחר אמור לוודא את התאמת החתימה. שיטה זו פחות מאובטחת מה-PIN אך עדיין נהנית מאבטחת הקריפטוגרמה הדינמית של השבב.
- ללא CVM: משמש לעיתים קרובות בעסקאות קטנות ללא מגע (Tap), בהן הסיכון נמוך ומהירות התשלום היא בעדיפות עליונה.
אופן פעולת EMV: זרימת העסקה
עסקת EMV היא דיאלוג דינמי ומאובטח בין כרטיס השבב למסוף, המורכב משלושה שלבים עיקריים: אתחול, עיבוד (אימות) ואישור/סיום.
1. אתחול (הכנסת/הצמדת הכרטיס)
התהליך מתחיל כאשר הכרטיס מוכנס או מוצמד למסוף.
- בחירת יישום (Application Selection): המסוף והכרטיס מתקשרים כדי להסכים על יישום תשלום נתמך הדדית (למשל, ויזה, מאסטרקארד).
- החלפת נתוני מסוף: המסוף שולח נתוני עסקה (סכום, מטבע, תאריך) לשבב.
2. עיבוד ואימות (האבטחה הדינמית)
כאן מבוצעות תכונות האבטחה המרכזיות של EMV.
- יצירת קריפטוגרמה: שבב הכרטיס משלב את המפתחות הפרטיים שלו עם נתוני העסקה ומספר אקראי ייחודי שנוצר על ידי המסוף, כדי ליצור את קריפטוגרמת בקשת האישור (ARQC). קוד ARQC זה הוא קוד האבטחה החד-פעמי והדינמי.
- אימות בעל הכרטיס (CVM): המסוף בודק את רשימת שיטות האימות המועדפות של הכרטיס ומבקש מהלקוח את האימות הנדרש (למשל, הקלדת PIN).
- אימות נתונים אופליין (אופציונלי אך נפוץ): המסוף עשוי לבצע בדיקת אבטחה באמצעות האישור הדיגיטלי של השבב, כדי לוודא שהכרטיס אותנטי ולא משובט. בדיקה זו, המכונה אימות נתונים דינמי (DDA) או CDA, מונעת התקפות מתוחכמות יותר של זיוף כרטיסים.
3. אישור וסיום
קוד ה-ARQC ונתוני עסקה נוספים נשלחים אונליין לבנק המנפיק לצורך אישור.
- אימות המנפיק: הבנק המנפיק מאמת את קוד ה-ARQC באמצעות המפתח הסודי שלו ונתוני העסקה. אם ה-ARQC תקף, הכרטיס מאושר כאותנטי והנתונים נבדקו.
- אישור/דחייה: המנפיק בודק את יתרת החשבון/מגבלת האשראי ושולח תגובת אישור או דחייה בחזרה למסוף.
- סיום העסקה: אם העסקה אושרה, המסוף מאפשר ללקוח להוציא את הכרטיס ומדפיס קבלה, ובכך מסתיים התשלום.
יתרונות וחסרונות
✅ יתרונות EMV
| תכונה | פירוט |
| מניעת הונאות מעולה | EMV מצמצם משמעותית את הונאות הזיוף בעסקאות נוכחות-כרטיס בשל הקריפטוגרמה הדינמית הנוצרת לכל עסקה, מה שהופך את שיבוט הכרטיסים לכמעט בלתי אפשרי. |
| יכולת פעולה גלובלית | כתקן גלובלי, כרטיסי EMV יכולים לשמש בצורה חלקה בכל מסוף תואם EMV ברחבי העולם. |
| תמיכה בשיטות אימות מגוונות | EMV תומך בשיטות אימות מרובות (PIN, חתימה, ביומטרי), ומאפשר למנפיק לבחור את האיזון הנכון בין אבטחה ונוחות. |
| יכולת עיבוד אופליין | השבב יכול לאחסן נתונים ולבצע בדיקות קריפטוגרפיות, מה שמאפשר עסקאות אופליין (במקומות ללא קישוריות טובה או לעסקאות בסכום נמוך) בצורה מאובטחת. |
❌ חסרונות EMV
| חשש/אתגר | פירוט |
| זמן עסקה ממושך | בעסקאות מגע (הכנסה), התהליך מעט ארוך יותר מסוויפ מגנטי פשוט ("הכנס והמתן"), שכן הכרטיס חייב להישאר במסוף במהלך הדיאלוג המאובטח. |
| נדידת הונאות | EMV כמעט חיסל את הונאות הזיוף, אך נוכלים עברו להתמקד בהונאות Card-Not-Present (CNP) – כלומר הונאות מקוונות – מכיוון שהם עדיין יכולים להשתמש במספר הכרטיס הסטטי, תאריך התפוגה וקוד האבטחה (CVV) ברכישות באינטרנט. |
| עלויות תשתית | סוחרים נדרשו להשקיע במסופי POS חדשים תואמי EMV, מה שהיווה עלות ראשונית משמעותית, במיוחד לעסקים קטנים. |
| מורכבות טכנית | המפרט הטכני הבסיסי וזרימת העסקאות מורכבים מאוד, מה שמקשה על פתרון תקלות ושילוב מערכות בהשוואה לטכנולוגיית הפס המגנטי הפשוטה. |
לסיכום, טכנולוגיית EMV חוללה מהפכה בתחום התשלומים הפיזיים המאובטחים, והפכה למעשה את זיוף הכרטיסים המסורתי ללא רלוונטי על ידי החלפת נתונים סטטיים בחתימה קריפטוגרפית דינמית וחד-פעמית. יתרונות האבטחה שלה, המחוזקים על ידי היסט האחריות, הפכו אותה לתקן הגלובלי השולט במסחר מבוסס כרטיסים.
«חזרה לאינדקס המונחים