Jednym z dwóch instrumentów pieniądza elektronicznego, których dotyczy ustawa, jest karta płatnicza. Za przełomową, z punktu widzenia posiadaczy kart, należy uznać regulację ograni- czającą odpowiedzialność posiadacza do kwoty 150 euro za operacje dokonane z użyciem karty w okresie między utratą karty a zgłoszeniem tego faktu wystawcy. Jej konsekwencje nawet idą dalej. Mają bowiem motywować wystawców do poszukiwania i wdrażania lepszych metod zabezpieczania wystawianych kart płatniczych (obecnie poziom zabezpieczeń kart płatniczych w stosunku do możliwości, jakie w tym zakresie stwarza technologia, pozostawia wiele do życzenia).

Należy podkreślić, że przyjęte rozwiązanie diametralnie różni się od zasad ustalanych obecnie przez wystawców kart. Jakkolwiek wielu z nich zwalnia posiadaczy z odpowiedzialnoś- ci nie tylko z chwilą zgłoszenia utraty karty, ale również na pewien okres wstecz, to regulacje te nie dotyczą transakcji zrealizowanych przy użyciu kodów PIN (mimo zastrzeżenia karty). Wypłaty nie muszą być zresztą dokonywa- ne w miejscu kradzieży karty. Dane na niej zawarte bardzo łatwo odczytać, przekazać drogą elektroniczną i "sklonować" kartę w dowolnym miejscu na świecie. Problem tego typu przestępczości zyskuje na znaczeniu, zaś sposobem na jego opanowanie jest zmuszenie wystawców kart do zwiększenia bezpieczeństwa stosowanych systemów.

Zasada 150 euro w procesie legislacyjnym była ostro atakowana przez środowisko bankowe w Polsce. Można jedynie domniemywać przyczyn tak gwałtownej reakcji. Po wejściu w życie zapisów ustawy koszty związane z oszustwami, nieprzestrzeganiem procedur wydawania kart i ich akceptacji oraz niesprawnymi urządzeniami (od 150 euro w górę) będą obciążały wystawców kart płatniczych.

W przypadku kart płatniczych szczegółowemu uregulowaniu poddano również zagadnienia związane z warunkami, jakie muszą być spełnione, aby nastąpiło obciążenie posiadacza operacjami dokonanymi przy użyciu karty. Zgodnie z art. 28 pkt. 5 "posiadacza nie obciążają operacje, zastrzeżeniem pkt. 6, jeżeli karta płatnicza została wykorzystana bez fizycznego przedstawienia i elektronicznej identyfikacji posiadacza lub bez złożenia przez niego własnoręcznego podpisu na dokumencie obciążeniowym. Użycie kodu identyfikacyjnego nie wystarcza do obciążenia posiadacza zakwestionowaną przez niego operacją, chyba że został złożony bezpieczny podpis elektroniczny".

W ustawie brakuje definicji pojęcia elektronicznej identyfikacji (dodajmy, że dla informa- tyka takie pojęcie również nie ma jednoznacznej interpretacji i może oznaczać różnorodne mechanizmy: od bardzo zawodnych, po nadzwyczaj skuteczne). Określenie elektronicznej identyfikacji występuje wprawdzie w art. 2, ale tylko jako pojęcie, za pomocą którego definiuje się elektro-niczny instrument płatniczy i kod identyfikacyjny (art. 2 pkt. 8) - "kod identyfikacyjny - poufny numer, hasło lub inne oznaczenie posiadacza, które łącznie z danymi zawartymi na elektronicznym instrumencie płatniczym służą do elektronicznej identyfikacji posiadacza".

Wobec niejasności, czym ma być elektroniczna identyfikacja, nie sposób określić wymagań wobec kodów identyfikacyjnych.

Skomplikowana budowa logiczna pkt. 5 art. 28 sprawia, że pytanie dotyczące elementów niezbędnych do obciążenia posiadacza karty płatniczej nadal pozostaje otwarte. Wydaje się, że wystarczy podanie kodu identyfikacyjnego wraz ze złożeniem bezpiecznego podpisu elektronicznego w okresie ważności certyfikatu. Dlaczego mocnemu matematycznie mechanizmowi podpisu elektronicznego musi towarzyszyć relatywnie słaba metoda autoryzacji w postaci podania kodu identyfikacyjnego? Dla jasności dodajmy, że nie może tu chodzić o kod identyfikacyjny używany w kontekście podpisów elektronicznych (jeden kod identyfikacyjny jest prezentowany akceptantowi, podczas gdy inny, który musi być zabezpieczony i nie może być nikomu ujawniony, jest używany do uruchomienia urządzeń służących do składania podpisu).

Ustawodawca, precyzując uregulowania związane z kartami płatniczymi, wprowadził dwa kontrowersyjne zapisy. Pierwszy z nich to zawarta w art. 19 możliwość zmiany bez zgody posiadacza limitów kwot dokonywanych operacji. Ta prawdopodobna pomyłka ustawodawcy daje w rezultacie wystawcom możliwość zwiększania limitów (w ramach swoistej "promocji"), a tym samym zwiększania ryzyka posiadaczy. Regulacja ta jest szczególnie kontrowersyjna w przypadku kart wydanych na potrzeby podmiotów gospodarczych. Drugą kontrowersję budzi regulacja zawarta w art. 27 ustawy dotycząca weryfikacji operacji na podstawie otrzymanego od wystawcy zestawienia. Obowiązek zgłaszania wszelkich błędów zestawienia posiadacz może zrealizować jedynie poprzez prowadzenie rzetelnej i pełnej ewidencji operacji. Tym samym obowiązek prowadzenia czynności stanowiących istotę usługi bankowej został przeniesiony na klienta insty- tucji finansowej.