Evropska direktiva o plačilnih storitvah naj bi pred enim letom (14. septembra 2019) uvedla močno uporabniško zaščito spletnih nakupov. Vendar so že lani rok za uveljavitev te novosti prestavili za nekaj mesecev, nato pa letos ob spremenjeni realnosti zaradi pandemije znova. Toda z začetkom 2021 bi morali vsi spletni trgovci in banke znotraj Evropske unije komitentom ponujati drugačen, bolj varen način potrjevanja plačil. Morda bodo res, toda za zdaj še zdaleč niso vsi pripravljeni.
Močna uporabniška zaščita ali po angleško strong customer authentication (SCA) je ključni del omenjene direktive, znane tudi po kratici PSD2. Ta predvideva tri možne načine za avtentikacijo kupca pri spletnem poslovanju. Da je res on, lahko potrdi z nečim, kar ve, kar ima in kar je. Pri vsakem nakupu pa morata uporabiti dva od teh treh varnostnih elementov. Tisto, kar ve, je geslo, koda PIN ali kakšna druga prijavna informacija. Za reč, ki jo ima, se običajno predvideva pametni telefon z ustrezno aplikacijo. Nekaj, kar je uporabniku lastno (kar je), pa so biometrične značilnosti, denimo prstni odtis ali obraz. Tako bo običajni postopek nakupa tak, da bo potrošnik vpisal ali med shranjenimi našel svojo plačilno kartico, kliknil plačaj in potem na svoj telefon dobil obvestilo, naj v aplikaciji potrdi nakup. Tako bo moral odkleniti najprej telefon in nato še – z geslom, PIN-om, prstnim odtisom ali prepoznavo obraza – vstopiti v aplikacijo ter pritisniti na gumb potrdi nakup. Brez tega zadnjega koraka s telefonom bo zadeva v spletni trgovini propadla.
Doslej so nekatere banke v navezi s trgovci zahtevale vpis enkratne kode, ki jo je uporabnik dobil po sms-u. Varnost že pri tem sistemu ni bila slaba, a industrija je vseeno prepričana, da je novi še varnejši. Pri sms-u so določene luknje, saj je denimo mogoče potvoriti kartico SIM ali preusmeriti sporočilo, in občasno smo brali o kakšni taki epizodi v južnoameriških državah. Poleg tega na ukradenem telefonu ni težko prebrati kode, celo brez odklepanja. Res pa v Evropi zlorab tovrstnega sistema skoraj ni bilo. Pri nekaterih plačilih celo ni bilo treba ničesar potrditi in tako je lahko na spletu kupoval vsakdo, ki je imel v roki kartico ali pa vsaj njene kompletne podatke (številko, trimestno varnostno kodo in pravilno ime lastnika).
Ideja močne uporabniške zaščite je v tem, da bi v kar največji meri preprečila zlorabe. Četudi se kdo dokoplje do telefona, mora še vedno ali razbiti geslo oz. PIN (težko) ali ponarediti biometrične lastnosti, ki bi pretentale sistem za odklepanje (zelo težko). Tudi tovrstno potrjevanje sicer ne bo v uporabi vedno in povsod. V osnovi naj bi se sprožilo pri nakupih nad 30 evri, vsi zneski pod to vrednostjo, če jih ne bo za več kot 120 evrov na dan, ostajajo brez dodatne avtentikacije. Tako kot pri brezstičnem plačevanju s kartico ni treba vedno vpisovati PIN-a. Bodo pa tudi nekatere izjeme. Lahko bo uporabnik sam dodal določene trgovce na seznam »zaupanja vrednih«, čeprav se mi to ne zdi najboljša ideja. Izvzete bodo tudi ponavljajoče se transakcije in sploh tiste, ki jih ne začne potrošnik, temveč ponudnik. Tako ne bo treba vedno znova, po možnosti ob čudnih urah, potrjevati plačil različnih spletnih naročnin in še česa. Postopek SCA bo stekel zgolj pri sklenitvi naročnine (to transakcijo sproži potrošnik), vse nadaljnje mesece pa ne več. In tudi za bančna nakazila v spletni ali mobilni banki direktiva ne predvideva tovrstnega potrjevanja. Razlika v primerjavi s spletnimi nakupi je v tem, da mora za uporabo spletne oz. mobilne banke komitent opraviti avtentikacijo v fizični poslovalnici. Tam se morajo prepričati, da to je to res on. Od tam naprej pa je sam odgovoren za gesla in prijavne podatke. Še vedno pa večina bank vsaj za nakazila prejemnikom, ki jih komitent ne uvrsti na seznam, mogoče pa celo za vsa, zahteva potrditev. Običajno je to z enkratno kodo, ki jo ali banka pošlje po sms-u ali pa jo uporabniku generira določena naprava oz. aplikacija.
Dodatna ovira pri nakupu?
Že dolgo poslušamo, da bi moralo biti spletno nakupovanje kar najbolj enostavno in da se marsikdo ustavi pred tistim zadnjim korakom, ko ima sicer želene izdelke že v »košarici«. Zato so tudi uvajanje močne uporabniške zaščite nekateri kritiki označili za dodajanje nove ovire, ki potrošnikom ne bo všeč in bo zmanjšala število spletnih nakupov. Saj vemo, kako močno se največji svetovni trgovec že kakšnih dvajset let hvali s svojim sistemom »kupovanja z enim klikom.« Toda zagovorniki dvonivojske varnosti, kar močna uporabniška zaščita v osnovi je, trdijo, da bo na dolgi rok koristila tudi trgovcem. Soočali se bodo namreč z nižjim odstotkom prevar in lahko si obetajo boljših ocen za svoje storitve.
Jih pa do tja čaka še nekaj dela. Vzpostavitev sistema za SCA ni povsem trivialna. Najprej ga mora pripraviti banka, nato pa se mora vanj vključiti še trgovec, kar zahteva nekaj posredovanja podatkov, dela na zalednih sistemih, testiranja in še česa. Med pandemijo pa se mnogi trgovci, morda še bolj drugod po Evropi kot v Sloveniji, soočajo z večjim obsegom naročil in v tem času ne želijo spreminjati ničesar, kar bi lahko povzročilo težave, poslabšalo uporabniško izkušnjo in morebiti odgnalo kupce drugam. Drugi pa se, prav tako zaradi spremenjenih razmer, usmerjajo v nove poslovne priložnosti, in temu posvečajo ves čas in trud, tehnološke nadgradnje pa tako ostajajo nekoliko v ozadju. V veliki prednosti so seveda tisti trgovci in banke, ki so glavnino dela opravili že pred izbruhom pandemijo. Morda že celo lani, kot da bi veljal prvotni rok.
Od slovenskih bank je tovrstno potrjevanje spletnih nakupov doslej ponudila NLB, ki je funkcionalnost vključila v aplikacijo NLB Pay. To je v osnovi mobilna denarnica, ki na androidnih telefonih s pomočjo tehnologije NFC nadomešča brezstično kartico, kot je Maestro ali Mastercard. Pred časom je aplikacija prišla še na sistem iOS in zdaj je v njej na obeh platformah še funkcija potrjevanja nakupov. Podprlo jo je že precej trgovcev, a nekateri se bodo priključili še v prihodnjih tednih in mesecih. Morda bo že kmalu sledila še katera od bank, v zadnjih treh mesecih leta pa bi načeloma morale to možnost zagotoviti vse.
Naslovna fotografija: Deposit Photos
Brez komentarjev