IC / タッチ対応のクレジットカードは内部に CPU を持っていて、暗号面で元来のクレジット支払いよりずっとまともな方法でやり取りしている (はず。詳しいプロトコルは知らない)。とはいえ店側の端末でしか請求金額を確認できないので、100 円と表示して 5000 兆円請求することはできる。
金額を表示できる程度のカード型端末を作る技術は昔からある (1983 年ですら厚さ 0.8 mm のカード型電卓が発売されている)。あと一歩のところで安全でない方法を採用している理由がよく分からない。
最近のスマホによる決済システムにこの問題はないと思っていたが、そうでもないのかな。ストアスキャン方式のとき、スマホ側で金額確認後の承認プロセスがないように見える。