Boljši način potrjevanja spletnih nakupov prihaja, toda z zamudo
Matjaž Ropret 27. septembra 2019 ob 06:50

Že od 14. septembra naprej bi morali nakupe v evropskih spletnih trgovinah in s kreditno kartico, izdano v Evropski uniji, potrjevati na nov način, z dvema elementoma avtentikacije. Toda večina ponudnikov ni ujela roka za implementacijo t. i. močne uporabniške zaščite (Strong Customer Authentication, SCA), zato zdaj potekajo pogajanja o dodatnem prehodnem obdobju. Vsaj v Sloveniji je Banka Slovenije že podaljšala rok za vpeljavo novosti do konca leta.

Ideja SCA, kot dela bančne direktive PSD2, ki sicer delno že velja – prav zaradi nje denimo trgovci ne smejo več šele ob koncu nakupnega procesa prikazati dodatnih stroškov za plačilo s kreditno kartico in podobnih – je hkrati poenostaviti spletne nakupe in jih narediti varnejše. Tako naj bi kupec potrdil, da je res on, z dvema od treh elementov. Kot smo že pisali, so ti trije elementi naslednji: Nekaj, kar imaš. Nekaj, kar veš. In nekaj, kar si. Doslej je bila najbolj razširjena oblika potrditve nakupa enkratna koda v sms-u, ki jo kupec vtipka v spletni trgovini. Vse do zadnjega so banke menda upale, da bo to priznano kot ustrezna, varna metoda, vendar večina tolmačenj direktive pravi, da gre tu zgolj za en element – nekaj, kar imaš (torej telefon, kartica SIM z določeno številko in sms). Manjka še ena od drugih dveh, zato so nekatere banke po naših informacijah razmišljale še o uvedi dodatne številke PIN (nekaj, kar veš), ki bi jo bilo treba vpisovati pri spletnih nakupih z določeno kartico. Toda tak način prav nič ne poenostavlja in izboljšuje uporabniške izkušnje, pa tudi varnosti v resnici ne, ker so s temi kodami vedno težave, kje so shranjene in kdo vse jih pozna.

Način, ki ga zagovarjata kartična ponudnika Mastercard in Visa, je z obvestilom na pametni telefon in potrditvijo nakupa s tistim, s čimer uporabnik vstopa v mobilno banko, najbolje s prstnim odtisom ali prepoznavo obraza (nekaj, kar posameznik je), lahko pa tudi z geslom ali PIN-om. Ko torej v spletni trgovini vpišem (ali kliknem na shranjeno) številko kreditne kartice in kliknem plačaj, na telefon dobim obvestilo, kliknem nanj, da me preusmeri v bančno aplikacijo, vstopim z biometrično avtentikacijo in nazadnje potrdim nakup. Potem gre proces v spletni trgovini samodejno najprej, saj od zalednega sistema dobi podatek, da je plačilo »avtenticirano«. Izpolnjena sta elementa imeti (telefon) in biti (biometrična prepoznava) ali vedeti (geslo). Na ta način bi po mnenju predstavnikov Mastercarda tudi pretežno preprečili še tisto malo prevar pri spletnih nakupih, kolikor jih je v Sloveniji. Kajti zdaj lahko kdo koga pretenta po telefonu, da mu najprej zaupa številko kartice in potem še enkratno geslo, ki pride po sms-u. Ko pa bi tak »kupec«, ki bi ga nekdo želel zlorabiti za svoj nakup, videl obvestilo s podatki o znesku, trgovcu in morda še čim, bi bilo prevare najbrž konec. V vsakem primeru pa bo še »rezervna« metoda za vse tiste, ki ne uporabljajo pametnega telefona. To bo verjetno kakšna kombinacija potrditvenega sms-a in gesla ali PIN-a.

Kdaj bodo novost dokončno vpeljali, je še nejasno. Zelo verjetno bo prehodno obdobje dolgo eno leto, a nekatere države lobirajo za še daljši odlog. Tudi tistim, ki so že pripravljeni, se še ne splača vključiti novega načina, ker bi se lahko zgodilo, da bi bilo kakšno plačilo zavrnjeno, saj nekdo drug v verigi ne bi imel ustreznega sistema. Veljajo pa tudi izjeme. Med njimi so denimo platforme, kakršna je PayPal, pa verjetno tudi Apple Pay in podobne, kjer se ponudnik plačilnega sistema in banka kot izdajatelj kartic (če gre plačilo sploh s kartice) dogovorita, kako bosta identificirala potrošnika in ali je to treba storiti vsakič, kar je navsezadnje povezano s tem, kdo nosi odgovornost za morebitno poplačilo, če se vendarle zgodi prevara. Če plačilo ni s kartico, je stvar ponudnika platforme, kako ga bo zaščitil. Spletnim trgovinam s sedežem zunaj EU ni treba upoštevati teh pravil. In prav tako ne neevropskim izdajateljem kartic.

Kot smo pisali, pa v kratkem prihaja tudi sprememba pri fizičnih brezstičnih nakupih, ki prav tako zahteva določene prilagoditve zalednih sistemov in predvsem terminalov POS. Z 18. oktobrom ali pa vsaj do konca oktobra bo meja za plačila brez PIN-a zrasla na 25 evrov z zdajšnjih 15 evrov. V veljavi pa ostajata varovalki. Po eni je treba po petih zaporednih brezstičnih transakcijah brez PIN-a tega znova vpisati, tudi če je znesek nižji od 25 evrov. Potem pa je tu še skupna meja takih nakupov, preden je nujen PIN, najvišja dovoljena je 150 evrov, nekatere banke jo imajo postavljeno tudi nižje. Problem, ki je sicer obstajal že zdaj, a so potrošniki nanj zelo redko naleteli, pa je v neprilagojenosti terminalov POS na ta pravila. Terminal namreč pošlje plačilni zahtevek sistemu, ta ugotovi, da je presežen števec ali skupni dovoljen znesek za brezstična plačila brez kode, in nazaj sporoči, da »ne bo šlo.« Toda marsikateri terminal takrat preprosto zavrne transakcijo, namesto da bi vprašal za PIN. Tako je treba vse skupaj ponoviti plačilo z vtikanjem kartice. Kar pa lahko pomeni hudo težavo, če ima kupec s seboj samo telefon z mobilno denarnico. Ali bodo vsi terminali POS nadgrajeni pravočasno, bomo šele videli.

Vsekakor pa je tudi to razlog, da bi morale vse mobilne denarnice delovati po metodi CDCVM (Consumer Device Cardholder Verification Method), pri kateri se avtentikacija uporabnika zgodi na napravi. Mobilna denarnica lahko deluje po tem principu ali »kot kartica« (card-like). Pri slednjem se terminalu predstavi kot klasična kartica in POS tako »ne ve«, da uporabnik plačuje s telefonom. Na ta način delujejo vse mobilne denarnice slovenskih bank (NLB Pay, Abadenarnica, Wave2pay pri Intesi Sanpaolo), ki tudi temeljijo na isti platformi. Pri načinu CDCVM pa se telefon terminalu predstavi kot mobilna naprava in dogovorita se za prvo metodo, ki jo oba podpirata. Po domače povedano telefon sporoči, da je že prepoznal uporabnika – biometrično ali kako drugače – in da tega ni treba početi še enkrat. Zato potem odpade vpisovanje PIN-a kartice v terminal. Kot nam je znano, vsaj v Mastercardu spodbujajo tudi banke, da bi pri svojih mobilnih denarnicah prevzele način CDCVM, ki ga uporabljajo vse od bank neodvisne plačilne platforme (Apple Pay, Garmin Pay, G Pay in ostale). Kdaj to dejansko lahko pričakujemo, še ni znano, vsekakor pa je to tisti korak naprej v uporabniški izkušnji, ki ga zgolj s prenosom kartice na telefon nismo deležni v polni meri.

***

Naslovna fotografija: Deposit Photos

Naroči se na redna vsakotedenska e-poštna obvestila o novih prispevkih na naši strani.


Avtor Matjaž Ropret
mm
Matjaž že več kot desetletje novinarsko pokriva tehnološki svet. Najprej na Radiu Slovenija, nato je na Delu od začetka leta 2009 do jeseni 2016 urejal redno tedensko prilogo Infoteh in pripadajočo rubriko na spletni strani. Zdaj je urednik Tehnozvezdja in hkrati glavni avtor na tej strani. Uporablja tiste naprave, ki se mu zdijo tehnološko dovolj napredne, uporabne in narejene z vsaj nekaj sloga, ne glede na znamko, operacijski sistem, platformo in ostale religiozne razloge.
Matjaž Ropret - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja