Evropska direktiva o plačilnih storitvah (PSD2) določa, da od 3. maja 2022 spletnih nakupov brez močne avtentikacije ne bo več mogoče izvesti. »Zato je zelo pomembno, da si uporabniki na pametni telefon pravočasno naložijo ustrezno aplikacijo oziroma si zagotovijo rešitev, ki jo za potrjevanje spletnih plačil ponuja banka ali hranilnica,« so opozorili v Združenju bank Slovenije (ZBS). Pregled načinov pri posameznih bankah je v spodnji tabeli.

Večkrat smo že omenjali, da močna uporabniška zaščita (Strong Customer Authentication, SCA) pomeni avtentikacijo kupca z dvema od treh elementov, med katerimi kratkih sporočil ni več. Elementi so naslednji:

Nekaj, kar potrošnik je (biometrični podatki, denimo prstni odtis ali obraz).

Nekaj, kar potrošnik ve (geslo, koda pin, odgovor na varnostno vprašanje).

Nekaj, kar potrošnik ima (pametni telefon ali druga mobilna naprava).

Večina bank se je odločila za aplikacijo na telefonu, najsi bo to namenska aplikacija za potrjevanje, mobilna banka ali mobilna denarnica (slednja omogoča brezstično plačevanje s telefonom), kar pomeni kombinacijo stvari, ki jo potrošnik ima (telefon), in nečesa, kar je (odklepanje z biometričnimi lastnostmi), ali kar ve (odklepanje z geslom ali kodo). Ponekod je tudi možnost potrjevanja s čitalnikom kartic, priključenim na osebni računalnik.

Še vedno bodo obstajale izjeme, kot so plačila manjših vrednosti in ponavljajoče se transakcije. V prvem primeru lahko trgovec določi, do katerega zneska ni potrebna dodatna avtentikacija, nekako tako, kot v trgovini za določena brezstična plačila ni treba vpisati PIN-a v terminal POS. Drugo pa so seveda digitalne naročnine, kjer bi bilo povsem nepraktično vsakič znova od naročnika zahtevati potrditev plačila. »Če nekdo v procesu ne bo pravočasno zagotovil vseh ustreznih prilagoditev, plačila spletnega nakupa na spletnih mestih s plačilnimi karticami od 3. maja 2022 ne bo mogoče izvesti,« so še zapisali v ZBS.

Težava direktive pa je že od začetka v tem, da ne zapoveduje teh pravil za vse trgovce in izdajatelje kartic, temveč le za tiste s sedežem znotraj Evropske unije oz. Evropskega gospodarskega prostora (ta vključuje še Islandijo, Lihtenštajn in Norveško). Tako kitajskim in še mnogim drugim spletnih trgovinam, Paypalu in drugim ni treba upoštevati načela SCA. Glede na to, da EU načrtuje denimo Akt o digitalnih storitvah, ki bo reguliral ponudnike ne glede na državo, od koder izhajajo, bi tudi direktivo PSD2 po mojem mnenju morali dopolniti, da bi zahtevala močno avtentikacijo od vseh trgovcev in finančnih institucij.

Naslovna fotografija: DepositPhotos

The post Čez en teden konec sms-ov za potrjevanje spletnih nakupov appeared first on Tehnozvezdje.

Za tiste, ki ste zgrešili lanske članke o tem in morda letos še niste kupovali na spletu ali pa malce začudeno pogledali, ko ste to počeli prvič v 2021, ponovimo še enkrat, kaj zahteva evropska direktiva o plačilnih storitvah (PSD2). Ena od novosti v njej je močna uporabniška zaščita (Strong Customer Authentication, SCA) in ta predpostavlja avtentikacijo kupca z dvema od treh elementov. Ti elementi pa so:

• Nekaj, kar potrošnik je (biometrični podatki, denimo prstni odtis ali obraz)

• Nekaj, kar potrošnik ve (geslo, koda pin, odgovor na varnostno vprašanje)

• Nekaj, kar potrošnik ima (pametni telefon ali druga mobilna naprava)

Več o osnovah in vseh pomembnih podrobnostih novega načina potrjevanja spletnih nakupov si lahko prebereš v članku Za spletno nakupovanje potrebujete pametni telefon na spletnem portalu Vse bo v redu Zavarovalnice Triglav.

Poglejmo postopek skozi aplikacijo NLB Pay (na Androidu ali iOS-u), ki je pri največji slovenski banki tista za potrjevanje nakupov. Ko kupec pride do konca postopka v spletni trgovini in klikne kupi, se nakup še ne zaključi, ampak se prikaže stran z obvestilom, da je treba zadevo potrditi oz. avtorizirati. Na telefon pride (potisno) obvestilo, ki pozove k odprtju aplikacije. Telefon je že tisti element »Nekaj, kar potrošnik ima.« Sledi najprej odklepanje telefona in potem še aplikacije. Oboje je lahko zaščiteno biometrično (kar uporabnik je) ali s PIN-om oz. geslom (kar uporabnik ve). Ko vstopi v aplikacijo, ga tam pričaka nekaj informacij. Najprej odštevalnik, kajti za potrditev nakupa je pet minut časa, sicer propade. Nato datum in čas, ko je bil nakup sprožen. Če takrat lastnik telefona ničesar ne kupuje, že lahko ve, da gre za poskus zlorabe njegove kreditne kartice in lahko klikne zavrni ter potem ukrepa naprej. Če je v resnici kupec, potem gremo naprej. Naslednja postavka je ime trgovca in pod njim v okvirčku znesek nakup. Če se vse to ujema, smo že skoraj na koncu. Prikazane so še zadnje štiri številke plačilne kartice in ko je kupec prepričan, da je vse tako, kot mora biti, pritisne na Potrdi, in s tem je postopek končan. Pride le še obvestilo o uspešnem plačilu.

Ideja metode SCA je v tem, da bi bilo manj zlorab plačilnih kartic. Če mora lastnik kartice potrditi nakup, jo morebitni tatovi (kartice ali pa samo njenih številk) težje izkoristijo za svoje nakupe. Zato je seveda pomembno, da res vsi trgovci (in banke) to vpeljejo. Po novem letu sem še opravil kakšen nakup brez dodatne opisane metode, a jih ni bilo veliko. Poleg tega pravila ne veljajo za trgovce s sedežem zunaj EU. Vsaj pri tistih, ki jih pravila obvezujejo in jih morda še ne spoštujejo, ne bi bilo nič narobe, če se jih kupci izogibajo, dokler zadeve ne uredijo. Vse dotlej so potencialna točka, kjer lahko nepridipravi vnovčijo tuje kartice.

Zanimivo je tudi, da pri nekaterih plačilnih storitvah še naprej ostaja v veljavi stari. Plačevanje s pomočjo Paypala je tak primer, saj še vedno zahteva prepis gesla iz sms-a, pa bi seveda lahko uredili potrjevanje z aplikacijo. Vendar jim, ker so ameriški ponudnik, ni treba. Včasih si želim, da bi šla EU malo dlje v svojih zahtevah. Naj vsi, ki želijo ponujati storitve tu, upoštevajo enaka pravila.

Pri kar nekaj bankah sploh ni več na voljo alternativne metode, samo še ta z aplikacijo na pametnem telefonu. Kar je mogoče za koga zoprno, ker ali nima ustrezne naprave ali pa ne (bi) uporablja(l) aplikacije. Toda, smo v letu 2021, in verjetno se bodo morali tudi zadnji tehnoamiši sprijazniti, da je pametni telefon danes nepogrešljivo orodje. Starejšim pa zagotovo lahko pri nakupih pomagajo otroci in vnuki.

Naslovna fotografija: DepositPhotos

The post Ignoriraj spletne trgovine, ki še niso uvedle novega načina potrjevanja nakupov appeared first on Tehnozvezdje.

Na spletu po podatkih najnovejše raziskave Masterindex, ki jo periodično izvaja podjetje Mastercard, nakupuje več kot tri četrtine Slovencev (natančna številka je 76 odstotkov). Pred petimi leti jih je bilo 64 odstotkov, lani 70 odstotkov, torej je pandemijsko leto dalo še nekaj dodatne spodbude (in nujnosti). Ob tem dve tretjini potrošnikov po spletu nakupuje enako pogosto, 23 odstotkov pa pogosteje kot pred letošnjimi okoliščinami. Zagotovo lahko rečemo, da je bila spodbuda na drugi strani še večja. Marsikateri trgovec je v 2020 opravil več kot prej v petih ali celo desetih letih. Če je želel prodajati, je moral zagotoviti sodobno spletno trgovino, vključno z vsemi zaščitami, ustreznimi kapacitetami, prijaznim uporabniškim vmesnikom in dodatnimi prijemi (kot so video, prilagajanje ponudb posamezniku, klepetalni »boti«), ter seveda poskrbeti, da so večje količine blaga od prejšnjih najprej bile na zalogi in nato pravočasno prišle do kupcev. Ob mnogih negativnih plateh tega leta, je enormno izboljšanje na področju spletnega nakupovanja zagotovo ena od pozitivnih. V navezi z dejstvom, da je internet zdržal brez večjih pretresov in da je bilo veliko naročnikov deležnih višjih hitrosti ob enakem mesečnem znesku.

Še vedno so med artikli v ospredju elektronske naprave, po spletu jih je kupovalo 54 odstotkov kupcev, in gospodinjski aparati (47 odstotkov). Toda na vrh so se zavihteli oblačila, obutev in modni dodatki (55 odstotkov), kar ni presenetljivo, glede na to, da do njih ni bilo mogoče v klasičnih trgovinah. Pogosteje kot prejšnja leta smo kupovali še medicinske pripomočke in prehranska dopolnila, pripomočke za šport in prosti čas ter avtomobilske izdelke, med najmanj pogostimi izdeki, kupljenimi po spletu, pa so glede na Masterindex cvetje in darila (13 odstotkov), prehranski izdelki lokalnih ponudnikov (7 odstotkov) – tu verjetno še vedno največ odnese prodaja od vrat do vrat – ter investicijske storitve.

Če se je glede samih spletnih trgovin, njihove podobe in zmožnosti obdelati veliko večji obseg naročil marsikaj izboljšalo, pa je še vedno malo preveč odlašanja z implementacijo zahtev direktive PSD2. Med temi je močna uporabniška zaščita (SCA), o kateri sem že pisal. Prinaša potrjevanje kartičnih plačil z dvema od treh elementov, večina izdajateljev kartic se bo odločila za potrditev v mobilni aplikaciji (denarnici). Vanjo je seveda treba vstopiti z geslom (PIN-om) ali z biometričnim odklepanjem. To je del sistema 3DS (Three Domain System). Za standard skrbi organizacija EMV, kartični ponudniki pa skupaj z bankami izgradijo zaledni sistem. Njegova naloga je »prepoznati« posamezno transakcijo. Na podoben način, kot so v svetu fizičnih kartičnih plačil terminali POS »uparjeni« z ustrezno finančno institucijo in se v sistem ne more priklopiti prevarant, ki bi zaračunaval lažna plačila. Nekatere spletne transkacije ne bodo zahtevale dodatnega potrjevanja, med temi so denimo nakupi z nizkimi zneski, naročnine in izjeme, ki jih bo uporabnik sam dodal.

Časa je še kakšen dan, toda trenutno še ne omogočajo vse moje banke te funkcionalnosti. Niso še namreč posodobile svojih aplikacij, pa verjetno tudi še ne česa v zaledju, da bi sistem deloval, kot je zamišljen. Prepričan sem, da bo večina ujela rok, vseeno pa je zanimivo, da tudi take institucije (zapovedane!) novosti uvajajo zadnji trenutek ali prosijo za podaljšanje rokov. Kajti zadeva bi morala zaživeti že septembra lani.

Velika pridobitev tega potrjevanja utegne biti v preprečevanju prevar s kreditnimi karticami. Doslej je namreč goljufom, ki so se nekako dokopali do številk kartic, ali s prevarami (t. i. ribarjenjem) ali s spletnimi vdori, pogosto uspelo »avtorizirati« transakcije in tako posameznikom do limita izprazniti kartico. Problem je bil v tem, da so na lažni spletni strani prepričali nevednega uporabnika, naj vnese kodo, ki jo je dobil v sms-u, ta pa je potrdila »nakup« s kartico. Tako ni pomagalo, če je sistem 3DS prepoznal transakcijo za sumljivo in zahteval dvostopenjsko potrjevanje. Po novem bo uporabnik v takem primeru dobil obvestilo na telefon in v mobilni denarnici videl točne podatke, kakšen naj bi bil znesek transakcije in komu naj bi ta znesek plačal. Tako bo veliko večja verjetno, da uporabnik kraje denarja ne potrdil. Pri čemer je sicer treba poudariti, da Mastercard in verjetno tudi drugi ponudniki imetnikom kartic zagotavljajo t. i. nično odgovornost za vse nakupe, ki jih niso avtorizirali. Denar torej dobijo nazaj, edino trajati utegne nekaj časa. Tisti, ki ne uporabljajo mobilne denarnice, bodo morda nekoliko na slabšem glede obrambe pred goljufijami, a v nekaterih primerih banke sploh ne bodo dovoljevale nakupov brez potrjevanja v aplikaciji. Ob večjih zlorabah sicer sistemske rešitve, kot je Mastercardov Safety Net, zaustavijo kartično plačevanje.

Kakšno pa je sploh najbolj pogosto plačevanje pri spletnih nakupih? Še ne tako dolgo nazaj so Slovenci zalo radi plačevali »po povzetju«, torej z gotovino ob prejemu pošiljke. Po zadnjih podatkih Masterindexa je delež tovrstnih potrošnikov padel s 44 na 39 odstotkov, a je tako še vedno (pre)visok. S kartico jih plačuje 60 odstotkov, lani jih je 54 odstotkov, torej se tu delež podobno zvišal kot pri gotovini znižal. Približno četrtina jih uporablja spletno ali mobilno banko, šest odstotkov pa mobilno plačevanje s pomočjo mobilnih aplikacij ali mobilnih denarnic. Mobilno plačevanje v fizičnem svetu še ni doseglo preboja, saj več kot  dve tretjini Slovencev (67 odstotkov) nikoli doslej ni plačalo z mobilnim telefonom. Med tistimi, ki plačujejo s telefonom, jih 12 odstotkov uporablja sisteme, kot je Apple Pay, prav toliko druge plačilne metode, denimo mBills), 9 odstotkov pa jih uporablja bančno mobilno denarnico (NLB Pay in podobne). Prav banke so glede nizke »penetracije« svojih tovrstnih rešitev nekoliko razočarane, saj po začetnem bumu ni več prave rasti, medtem pa je po drugi strani brezstično plačevanje s karticami že nekaj časa močno prevladujoč način.

Globalno obseg mobilni transakcij hitro raste. Prihodnje leto naj bi skupna vrednost plačil z mobilnimi denarnicami presegla dve bilijardi evrov, že letošnja ocena je približno 1,65 bilijarde, kar je za dve tretjini več kot lani. Še leta 2017 je bilo uporabnikov mobilnih denarnic po svetu zgolj slabih 300 milijonov, letos jih je že 1,3 milijarde, prihodnje leto jih bo milijardo in pol, do konca leta 2024 pa blizu dveh milijard. Največjo bazo seveda predstavlja Kitajska, kjer uporabniki ustvarijo skoraj 60 odstotkov vseh transakcij z mobilnimi telefoni na terminalih POS. Sledijo ZDA in potem ostale države, ki so glede tega bistveno manj »razvite«. Glede na trende drugod pa bi se morda tudi v Sloveniji lahko začelo kaj premikati.  

Fotografiji: Mastercard

The post Spletni nakupi so v porastu in postajajo varnejši appeared first on Tehnozvezdje.

Najprej samo za osvežitev spomina. Po novem bo treba spletni nakup potrditi z dvema od treh elementov avtentikacije (kar veš, kar imaš in kar si). Verjetno se bo večina bank odločila za metodo s potrjevanjem v aplikaciji (mobilni banki), v katero je treba vstopiti s številko PIN ali biometričnim preverjanjem. Kar pomeni, da na napravi, ki jo imaš, vpišeš podatek, ki ga veš, ali uporabiš svojo fizično lastnost (kar si). Za tovrsten način potrjevanja nakupov morata svoje zaledne sisteme nadgraditi tako spletni trgovec kot banka, ki je izdajateljica plačilne kartice (denimo Mastercarda). Za določene druge načine plačila, denimo nakazilo s pomočjo spletne ali mobilne banke, se nič ne spreminja. Nova ureditev želi v prvi vrsti preprečiti zlorabe kartic in spletnih storitev. Vprašal sem nekaj bank in trgovcev, kako je s tem.

Potrditev nakupa v aplikaciji sta zagotovo uvedli banki NLB in Intesa Sanpaolo, ki sta že pred tem med prvimi ponudili možnost plačevanja s telefonom namesto s fizičnimi karticami. Tako je tudi avtentikacija spletnih naročil v isti aplikaciji – mobilni denarnici. A niti ni pomembno, v kateri bi bila, kajti sistem takrat samodejno sproži zahtevo za potrditev, tako da se uporabniku prikaže obvestilo in s klikom nanj se začne odpirati prava aplikacija. SKB namerava močno uporabniško zaščito uvesti decembra ali najkasneje s prvim januarjem 2021. Za njihove komitente bo zadeva pričakovano delovala s pomočjo aplikacije Moj@SKB, ki bo ob zaključevanju nakupa dala potisno obvestilo in potrošnik bo moral reagirati, če bo želel potrditi plačilo. V Addiko banki so podobno odgovorili, da bodo SCA za spletna plačila implementirali do konca leta. V Novi KBM pa nameravajo v teh dneh komitentom ponuditi mobilno denarnico mdenarnic@, znotraj katere bo od začetka decembra tudi metoda SCA.

Nič ne pomaga pripravljenost banke, če sistema 3D Secure, znotraj katerega se sproži preverjanje identitete kupca, ne podpira tudi trgovec. Glavnina večjih je na novost menda pripravljena oz. se pri njih že sproži način z močno uporabniško zaščito, če je kupec komitent ustrezne banke. Pri strankah ostalih bank je še v uporabi prejšnji način, ki je običajno predvideval vpis enkratnega gesla, prispelega v sms-u. »3D Secure 2.0 v primerjavi s prvo generacijo omogoča lažjo in bolj učinkovito identifikacijo, za uporabnike pa je hitrejši in enostavnejši,« je prepričan izvršni direktor za IT in podporo poslovanju v  Big bangu Robert Sraka. Verjetno so manj pripravljeni manjši trgovci, razen če denimo prodajajo v sklopu sveže Telekomove platforme PIAZZ, kjer po zagotovilih operaterja močna uporabniška zaščita že deluje.

Banke so se po lastnih besedah večinoma že lotile obveščanja o spremembi, verjeto pa bodo še več tovrstnih sms-ov, obvestil v spletni in mobilni banki pa morda še kakšne drugačne pošte komitenti dobili do konca leta. Navsezadnje niti ni smiselno razglašati novosti, če še ni vpeljana. Večina ponudnikov ne pričakuje večjih težav, sploh ne pri tistih potrošnikih, ki so navajeni spletnega kupovanja. V Big bangu so opazili nekaj več neuspešnih transakcij, »ker kupci niso uspešno zaključili avtentikacije 3D secure.« Po njihovem mnenju so težave imeli predvsem kupci, ki so zaradi zaprtih fizičnih trgovin sploh prvič začeli naročali blago po elektronski poti. V NLB pravijo, da odzivov na SCA še ni veliko, saj je storitev šele dobro zaživela. »So pa prvi pozitivni, kar nas še posebej veseli.« In dodali, da približno 15 odstotkov komitentov že uporablja novi način.

Brez pametnega telefona bo morda šlo, morda pa tudi ne

Dokaj zanimivi so pogledi bank na implementacijo metod za tiste uporabnike, ki nimajo pametnega telefona. Intesa Sanpaolo namerava to rešiti s čitalnikom kartic, ki ga bo moral imeti komitent priklopljenega na računalnik. Addiko banka bo ponudila kombinacijo prijave na namenski spletni strani in enkratne kode v sms-u. NLB napoveduje vpeljavo rešitve za tiste brez NLB Pay s 1. januarjem 2021, a ne pove, kakšne. Naj bi se pa uporabnik lahko sam odločil, katero metodo bo izbral. V NKBM niso izrecno povedali, kaj nameravajo uvesti kot nadomestno metodo. Glede na odgovor, da »večina strank, ki opravlja nakupe prek spleta, tudi sicer uporablja digitalne kanale za opravljanje bančnih storitev,« pa lahko predvidevamo, da bo mdenarnic@ edini način. Podobno brezkompromisni so v banki SKB.

»Dolgoročni oz. strateški cilj SKB banke je, da bi vse stranke uporabljale mobilno banko MOJ@SKB, saj bo ta predstavljala osnovo za bančno poslovanje v prihodnosti. Možnosti potrjevanja spletnih plačil brez pametnih mobilnih telefonov trenutno ne predvidevamo, saj izhajamo iz prepričanja, da je uporabnik, ki nakupuje po spletu, tako napreden, da uporablja tudi mobilni telefon.«

Fotografiji: Mastercard

The post Kakšno bo potrjevanje spletnih nakupov brez mobilne denarnice ali pametnega telefona? appeared first on Tehnozvezdje.

PIAZZ je nekakšna kombinacija iskalnika cen in spletne trgovine. Za razliko od drugih podobnih iskalnikov je mogoče nakup opraviti neposredno, kupca ne preusmeri v določeno spletno trgovino. Kupci pa lahko uporabljajo obstoječi uporabniški račun, ki ga imajo pri Telekomu (Moj Telekom), plačevanje pa je za zdaj mogoče z debetnimi in kreditnimi karticami.

»Spletno tržišče PIAZZ je platforma, ki na enem mestu povezuje trgovce in kupce. Kupcem zagotavlja preprosto uporabniško izkušnjo, varnost in bogato izbiro, trgovcem pa priložnost, da skozi enoten prodajni spletni kanal kupcem predstavijo ponudbo in jim ponudijo svoje izdelke,« so novost predstavili v Telekomu. Ta čas je na voljo trgovcem iz Evropske unije in kupcem iz Slovenije, nekoč pa bodo lahko tu kupovali tudi potrošniki iz »jugovzhodne regije«, kar verjetno pomeni nekdanjo Jugoslavijo in morda še kakšno državo.

Prednost za trgovce naj bi bila predvsem v tem, da hitro in enostavno postavijo svojo »trgovinico« znotraj omenjene platforme, podobno kot lahko počnejo na Amazonu, da jim bo potencialne kupce s svojim marketingom privabljal Telekom in da je ta poskrbel tudi za plačilni sistem. Seveda v vodilnem operaterju tega ne počno za zabavo ali za dobro voljo, temveč iščejo dodaten zaslužek. Trgovec plača mesečno naročnino, ki je prvi mesec brezplačna, in provizijo pri prodaji izdelkov. Naročnina je enotna in stane 39,90 evrov (+ DDV), medtem ko je provizija 6, 11 ali 14 odstotkov, odvisno od posameznega izdelka, za obnovljene je za dva odstotka višja, najnižja pa znaša 90 centov (in DDV).

Posamezen izdelek v PIAZZ-u kajpak lahko ponuja več trgovcev, to je tudi namen, saj gre v osnovi za iskalnik. Kupec pa se odloči, ali bo prevladala najnižja cena ali še kakšen drug vidik. Ta čas je v ponudbi menda že več kot 50 tisoč predmetov v približno 50 kategorijah. Največja ponudba izdelkov je v kategorijah računalništvo, elektronska oprema, igrače, igre in prosti čas ter dom in vrt. Upravljavec platforme izpostavlja določene izdelke oz. to počne umetna inteligenca, tudi na osnovi uporabnikovih zanimanj. Prednost pa bodo imeli tudi uspešnejši trgovci. In kot je bilo mogoče opaziti v prvih dneh, določeni ponudniki nekatere artikle postavijo v »akcijo« za dan ali dva, ko prodajo zastavljeno količino, pa se cene vrnejo na siceršnji nivo.

Pri bankah, ki so že pripravljene na močno uporabniško zaščito (SCA), se ta ob nakupu sproži. V praksi to pomeni, da je treba nakup potrditi z mobilni banki oz. denarnici, kar naj bi z novim letom postalo obvezno.

The post Telekomov PIAZZ združuje iskalnik cen in spletno trgovino appeared first on Tehnozvezdje.

Močna uporabniška zaščita ali po angleško strong customer authentication (SCA) je ključni del omenjene direktive, znane tudi po kratici PSD2. Ta predvideva tri možne načine za avtentikacijo kupca pri spletnem poslovanju. Da je res on, lahko potrdi z nečim, kar ve, kar ima in kar je. Pri vsakem nakupu pa morata uporabiti dva od teh treh varnostnih elementov. Tisto, kar ve, je geslo, koda PIN ali kakšna druga prijavna informacija. Za reč, ki jo ima, se običajno predvideva pametni telefon z ustrezno aplikacijo. Nekaj, kar je uporabniku lastno (kar je), pa so biometrične značilnosti, denimo prstni odtis ali obraz. Tako bo običajni postopek nakupa tak, da bo potrošnik vpisal ali med shranjenimi našel svojo plačilno kartico, kliknil plačaj in potem na svoj telefon dobil obvestilo, naj v aplikaciji potrdi nakup. Tako bo moral odkleniti najprej telefon in nato še – z geslom, PIN-om, prstnim odtisom ali prepoznavo obraza – vstopiti v aplikacijo ter pritisniti na gumb potrdi nakup. Brez tega zadnjega koraka s telefonom bo zadeva v spletni trgovini propadla.

Doslej so nekatere banke v navezi s trgovci zahtevale vpis enkratne kode, ki jo je uporabnik dobil po sms-u. Varnost že pri tem sistemu ni bila slaba, a industrija je vseeno prepričana, da je novi še varnejši. Pri sms-u so določene luknje, saj je denimo mogoče potvoriti kartico SIM ali preusmeriti sporočilo, in občasno smo brali o kakšni taki epizodi v južnoameriških državah. Poleg tega na ukradenem telefonu ni težko prebrati kode, celo brez odklepanja. Res pa v Evropi zlorab tovrstnega sistema skoraj ni bilo. Pri nekaterih plačilih celo ni bilo treba ničesar potrditi in tako je lahko na spletu kupoval vsakdo, ki je imel v roki kartico ali pa vsaj njene kompletne podatke (številko, trimestno varnostno kodo in pravilno ime lastnika).

Ideja močne uporabniške zaščite je v tem, da bi v kar največji meri preprečila zlorabe. Četudi se kdo dokoplje do telefona, mora še vedno ali razbiti geslo oz. PIN (težko) ali ponarediti biometrične lastnosti, ki bi pretentale sistem za odklepanje (zelo težko). Tudi tovrstno potrjevanje sicer ne bo v uporabi vedno in povsod. V osnovi naj bi se sprožilo pri nakupih nad 30 evri, vsi zneski pod to vrednostjo, če jih ne bo za več kot 120 evrov na dan, ostajajo brez dodatne avtentikacije. Tako kot pri brezstičnem plačevanju s kartico ni treba vedno vpisovati PIN-a. Bodo pa tudi nekatere izjeme. Lahko bo uporabnik sam dodal določene trgovce na seznam »zaupanja vrednih«, čeprav se mi to ne zdi najboljša ideja. Izvzete bodo tudi ponavljajoče se transakcije in sploh tiste, ki jih ne začne potrošnik, temveč ponudnik. Tako ne bo treba vedno znova, po možnosti ob čudnih urah, potrjevati plačil različnih spletnih naročnin in še česa. Postopek SCA bo stekel zgolj pri sklenitvi naročnine (to transakcijo sproži potrošnik), vse nadaljnje mesece pa ne več. In tudi za bančna nakazila v spletni ali mobilni banki direktiva ne predvideva tovrstnega potrjevanja. Razlika v primerjavi s spletnimi nakupi je v tem, da mora za uporabo spletne oz. mobilne banke komitent opraviti avtentikacijo v fizični poslovalnici. Tam se morajo prepričati, da to je to res on. Od tam naprej pa je sam odgovoren za gesla in prijavne podatke. Še vedno pa večina bank vsaj za nakazila prejemnikom, ki jih komitent ne uvrsti na seznam, mogoče pa celo za vsa, zahteva potrditev. Običajno je to z enkratno kodo, ki jo ali banka pošlje po sms-u ali pa jo uporabniku generira določena naprava oz. aplikacija.

Dodatna ovira pri nakupu?

Že dolgo poslušamo, da bi moralo biti spletno nakupovanje kar najbolj enostavno in da se marsikdo ustavi pred tistim zadnjim korakom, ko ima sicer želene izdelke že v »košarici«. Zato so tudi uvajanje močne uporabniške zaščite nekateri kritiki označili za dodajanje nove ovire, ki potrošnikom ne bo všeč in bo zmanjšala število spletnih nakupov. Saj vemo, kako močno se največji svetovni trgovec že kakšnih dvajset let hvali s svojim sistemom »kupovanja z enim klikom.« Toda zagovorniki dvonivojske varnosti, kar močna uporabniška zaščita v osnovi je, trdijo, da bo na dolgi rok koristila tudi trgovcem. Soočali se bodo namreč z nižjim odstotkom prevar in lahko si obetajo boljših ocen za svoje storitve.

Jih pa do tja čaka še nekaj dela. Vzpostavitev sistema za SCA ni povsem trivialna. Najprej ga mora pripraviti banka, nato pa se mora vanj vključiti še trgovec, kar zahteva nekaj posredovanja podatkov, dela na zalednih sistemih, testiranja in še česa. Med pandemijo pa se mnogi trgovci, morda še bolj drugod po Evropi kot v Sloveniji, soočajo z večjim obsegom naročil in v tem času ne želijo spreminjati ničesar, kar bi lahko povzročilo težave, poslabšalo uporabniško izkušnjo in morebiti odgnalo kupce drugam. Drugi pa se, prav tako zaradi spremenjenih razmer, usmerjajo v nove poslovne priložnosti, in temu posvečajo ves čas in trud, tehnološke nadgradnje pa tako ostajajo nekoliko v ozadju. V veliki prednosti so seveda tisti trgovci in banke, ki so glavnino dela opravili že pred izbruhom pandemijo. Morda že celo lani, kot da bi veljal prvotni rok.   

Od slovenskih bank je tovrstno potrjevanje spletnih nakupov doslej ponudila NLB, ki je funkcionalnost vključila v aplikacijo NLB Pay. To je v osnovi mobilna denarnica, ki na androidnih telefonih s pomočjo tehnologije NFC nadomešča brezstično kartico, kot je Maestro ali Mastercard. Pred časom je aplikacija prišla še na sistem iOS in zdaj je v njej na obeh platformah še funkcija potrjevanja nakupov. Podprlo jo je že precej trgovcev, a nekateri se bodo priključili še v prihodnjih tednih in mesecih. Morda bo že kmalu sledila še katera od bank, v zadnjih treh mesecih leta pa bi načeloma morale to možnost zagotoviti vse.

Naslovna fotografija: Deposit Photos

The post Do konca leta dodaten nivo varnosti za kupovanje po spletu appeared first on Tehnozvezdje.