Вчера решил поесть с товарищем. Обратил внимание на радостную наклейку на терминале кормильной конторы "ура, мы поддерживаем PayPass". Заинтересовался и опробовал технологию, приложив просто карту куда показали. Все пикнуло, чек вышел. Мы поели.
Никаких смс в телефон не поступило. Вечером сползал в инет-банк, там тоже тишина. Причем сумма даже не стоит на блокировке.
Сегодня к обеду пришла смс о списании за вчерашний загул.

Повторил тест. Там же, то же. Сегодня. Вот на дворе 23:00, тишина гробовая. Понятно, смс придет завтра.

Теперь просто представилось, что некто нашел, допустим, карту с PayPass (тьфу, тьфу) и пошел по всем подряд магазинам ее прикладывать. На сумму не свыше 1000р. Кассиры ничего не спрашивают из документов, слип подписывать не нужно, пин вводить не нужно.
Конечно, сейчас этих точек не столь много, но по сути при такой суточной задержке можно спокойно обнулить чужую карту по принципу хождения кругами из гипера еды в гипер стройтоваров, скажем. Туда зашел, купил вискарика, сюда зашел, рулон обоев недешевых, еще вискарика, еще обоев, еще вискарика... Так за сутки хоть 300.000 можно обустроить.
Защиты в общем ноль тут, как получается.