Računalništvo, telefonija
12.10.2019 08:00
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

Nakupovali bomo vse hitreje in vse bolj preprosto

Mastercard je z jesenjo napovedal pomembno novost pri plačevanju z brezstično kartico. Znesek plačevanja brez avtentikacije se je povišal s sedanjih 15 evrov na 25 evrov. Počasi se uvaja tudi močna avtentikacija imetnikov kartic.
Luka Gabrovšek, poslovni direktor, Mastercard Slovenija
Luka Gabrovšek, poslovni direktor, Mastercard Slovenija

18. oktober je datum, odkar lahko v trgovini nakupe do 25 evrov plačate brez vnosa PIN kode. Do zdaj je bila ta meja postavljena pri 15 evrih.

Hkrati pa smo v prehodnem obdobju, ko se uvaja direktiva PSD2 (nova druga direktiva o plačilnih storitvah). Močna avtentikacija imetnikov kartic (SCA), ki jo uvaja PSD2, od ponudnikov finančnih storitev zahteva, da pri izvedbi plačila zaradi varnosti obvezno uporabijo vsaj dva od treh obstoječih tipov za overjanje identitete (ti trije tipi faktorjev so nekaj, kar imaš, nekaj kar veš in nekaj, kar si). Na POS terminalnih je to že rešeno s “chip and PIN” (vstavljanje kartice v POS terminal in PIN koda) oziroma “tap and PIN” (brezstično plačevanje in PIN koda) tehnologijo. Večje težave se pojavljajo pri spletnih nakupih, kjer končne, najboljše rešitve še ni, možnosti pa je ogromno.

O tem smo se pogovarjali z Luko Gabrovškom, poslovnim direktorjem, Mastercard Slovenija.

Kaj je botrovalo dvigu meje plačil brez avtentikacije?

Dejansko sta bili potrebni skoraj dve leti, da se bo ta odločitev vpeljala v prakso. Pobuda je prišla s strani trgovinske zbornice, torej s strani trgovcev, ki opažajo, da bi se z dvigom povečala učinkovitost poslovanja. Tudi standardi v primerljivih državah v Evropi so postavljeni nekje med 25 in 35 evri, ponekod še višje. Omejitve pa uradno, preko svojih pravil, vendar usklajeno s trgom, določajo plačilne sheme.

Kljub temu, da je pobuda prišla s strani trgovinske zbornice, so se vsi relevantni udeleženci bolj ali manj hitro strinjali, da je dvig smiseln. Veliko število nakupov je namreč ravno nekje med 15 in 25 evri. Z vsemi deležniki smo na Nacionalnem svetu za plačila analizirali trenutno stanje: kaj se dogaja z mejo 15 evrov, koliko je težav in koliko zlorab. Ugotovili smo, da zlorab iz tega naslova pri fizičnih plačilih praktično ni. Ko je dala tudi Zveza potrošnikov Slovenije, ki je bila najbolj zaskrbljena zaradi strahu uporabnikov, svoje načelno soglasje, smo šli v postopke. Ti trajajo vsaj pol leta, ker moramo kot shema zadeve pripraviti, objaviti, potem morajo pri sebi to urediti banke, posodobiti opremo …

Mejo dvigujejo vse banke, kajne?

Morajo, ker so to pravila shem, katerih licence banke uporabljajo.

Potrošniki so brezstično plačevanje že od začetka dobro sprejeli, kajne?

Rekel bi, da je brezstično plačevanje ena izmed stvari, ki so najhitreje spremenile navade potrošnikov in ena izmed stvari, ki so bile najbolje sprejete. Ne spomnim se, kdaj bi tako radikalna sprememba uporabniške izkušnje bila tako hitro sprejeta s strani trgovcev in trga.

Ko ste prišli še pred dvema letoma na POS terminal in rekli, da boste brezstično plačali, je trgovec še jemal kartico iz vaše roke, danes trgovec praktično sploh več ne pričakuje, da bo prijel vašo kartico, ker se vse zgodi brez izmenjave, kar po eni strani tudi povečuje varnost.

Prva prednost je verjetno ta, da kartice na ta način praktično ne moreš pozabiti pri trgovcu.

Tako je, kartice ne pozabiš. Pa tudi brezstični bankomat na primer onemogoča skimming in podobno. Tako da je brezstična kartica oziroma to, da uporabnik kartice ne da iz roke, prineslo kar nekaj pozitivnih učinkov. Velika prednost je tudi ta, da je kupovanje hitrejše in bolj udobno. Uporabniška izkušnja je tako rekoč izpiljena do potankosti. Hitreje skoraj ne gre.

Kaj bistvenega spreminja močna avtentikacija, ki jo uvaja PSD2 pri plačilih nad 25 evrov in pri plačilih na spletu?

Plačila na fizičnih napravah, kot so POS terminali, so bila že pred uvedbo PSD2 pravil določena s strani shem, tako da je na fizičnih prodajnih mestih zadeva bila rešena, preden je regulativa stopila v veljavo – ker imamo “chip and pin” ali “tap and pin”. To je že skladno s tem, kar predvideva regulativa, ki je stopila v veljavo septembra letos.

Kako pa je s plačevanjem na spletu?

Če smo se leta trudili, da smo izpilili uporabniško izkušnjo na POS terminalih, splet še vedno ni tako uniformiran. Imamo različne izkušnje, različne varnostne mehanizme… Na spletu je še vedno prisotno tehtanje razmerja med udobjem nakupovanja in varnostjo. Amazon je primer, kjer je varnost postavljena bolj v ozadje. Pomembnejša je uporabniška izkušnja, torej, da vse kupiš z enim klikom. Ugotovili so, da vsak dodaten korak med nakupovanjem na spletu ljudi odvrača, posledično pa je manj zaključenih nakupov. Tako so največji trgovci šli v popolno uporabniško izkušnjo. Tudi na račun varnosti.

Ker je tega preveč, je vstopila EBA (Evropski bančni organ) in naredila regulativo takšno, da morajo vsi deležniki – tudi vsi trgovci, ki delujejo na območju EU, upoštevati določena pravila. To je PSD2 oziroma skupek pravil SCA (močna avtentikacija imetnikov kartic, op. a.) in RTS (tehnični standardi, op. a.). Sam PSD2 je širši, saj se dotika še drugih področij, medtem ko se SCA dotika praktično samo kartičnih plačil.

Lahko rečemo, da je glavna prednost dvostopenjske avtentikacije varnost? Tudi na račun uporabniške izkušnje.

Varnost definitivno. Predvsem to, da so znane odgovornosti udeležencev v sistemu. Torej kdaj je odgovoren izdajatelj kartice in kdaj banka, ki pridobiva trgovca. Uporabniška izkušnja pa ni nujno, da trpi. Regulacija sama ne narekuje uporabniške izkušnje. Dvostopenjska potrditev je namreč lahko zelo neudobna ali obratno. Če se regulacija ne ukvarja z uporabniško izkušnjo, se s tem ukvarjamo sheme, ki smo vzele regulacijo kot okvir in zahtevale, da mora banka uporabniku nuditi možnost plačevanja z biometrijo preko uporabnikove mobilne naprave.

V praksi to pomeni, da se trenutni potrditveni SMS zamenjuje s tem, da uporabite enake in zelo enostavne metode, kot jih uporabljate za odklep telefona. To je lahko pogled v telefon, PIN koda, prstni odtis …

Pri PSD2 morata biti pri izvedbi plačila uporabljena vsaj dva od treh tipov faktorjev. Kateri menite, da se bodo obdržali, ko bo enkrat zadeva polno vpeljana.

Trije tipi faktorjev so nekaj, kar imaš, nekaj kar veš in nekaj, kar si. Obstajajo seznami, kateri načini spadajo v nek faktor in kateri ne. Teh kombinacij je veliko, ampak v praksi se bo na koncu uveljavil princip potisnega sporočila (push notification) na mobilnem telefonu – to je nekaj, kar imaš; ter nekaj, kar si – torej da boš v telefon pogledal, dal prstni odtis oziroma vtipkal nekaj, kar veš, na primer PIN kodo.

Mi vidimo, da bo velika večina transakcij tekla na ta način – torej potisno sporočilo na telefon s povzetkom nakupa, torej komu plačuješ in kakšen znesek mu plačuješ, ter poziv k avtentikaciji nakupa, torej prisloni, pritisni…, skratka karkoli, kar telefon omogoča.

Kdaj lahko pričakujemo, da bo to polno uporabljeno.

Če govoriva o datumih, bo to takrat, ko bodo banke ponudile način, ki se bo izkazal za superiornega in ga bo vsak uporabnik vzel za svojega. Fall back metoda v smislu kakšnega SMS-a v kombinaciji s PIN kodo bo tako neudobna, da bo praktično izključno uporabljen način potisnega sporočila in nekega biometričnega elementa.

Kje so največje ovire, da tega še nimamo?

Ovire so predvsem nejasni standardi v preteklosti. Torej na pobudo regulatorja je bilo precej mnenj, pripomb in vprašanj, tako da do zadnjega ni bilo jasno, kaj je sploh prava pot. To je en vidik. Zdaj, ko je jasno, pa je težava v tem, da tehnična implementacija zahteva svoj trud tako na strani virov, torej denarja, kot tudi časa.

Računam, da bo v roku enega leta stvar bistveno drugačna kot je danes in bo večino uporabnikov že imelo dostop do takšnega načina avtentikacije pri spletnih nakupih.

Kdaj pa je skrajni rok?

Ne ve se še. Zato, ker je bila industrija popolnoma nepripravljena, je regulacija sama najavila prehodno obdobje, ki še ni definirano. Kljub temu, da smo že v prehodnem obdobju, datum, do kdaj velja, še ni znan. Predvsem zato, ker se želijo regulatorji uskladiti na evropskem nivoju, da ne bo ena država imela 12 mesecev časa, druga pa 36.

Lahko v prihodnosti pričakujemo tudi kakšne spremembe na POS terminalih? Torej, da bi kaj nadomestilo “tap and PIN”?

Zamenjale ga bodo t.i. mobilne denarnice, kjer avtentikacija ne bo šla na POS terminal, ampak na samo mobilno napravo. Uporabnik transakcije ne bo avtenticiral s PIN-om na POS-u, ampak z biometričnim odtisom, pogledom v telefon ali čemer koli. Tako kot danes odklepa telefon, bo odklenil plačilno aplikacijo, predpripravil transakcijo, da bo overjena in potem samo še prislonil telefon na napravo. Takšni primeri že obstajajo. Vse mobilne denarnice digitalnih velikanov, kot sta na primer Apple Pay in Google Pay, uporabljajo ta način.

Transakcijo avtenticirate, preden prislonite napravo na POS terminal. To je naslednji korak, ki bo po mojem mnenju sicer kar precej časa sobival s fizično kartico in PIN-om, ki smo ga ljudje tako zelo navajeni. Preskok na naprave ni tako trivialen, kot je bil iz »chip and PIN« v brezstičen način. Pričakujem, da bo kljub hitri rasti mobilnih plačil z mobilnimi denarnicami »tap and PIN« še nekaj časa ostal dominanten. (P.R.)


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

iRobot Slovenija

Masljeva ulica 3, 1230 Domžale, Tel: 01 530 04 60
Podjetje iRobot se kot vodilni svetovni proizvajalec robotov za domačo rabo že več kot 25 let posveča razvoju, oblikovanju in izdelavi robotov, ki ljudem pomagajo postoriti več. ... Več
Bronasti partner

openIT d.o.o.

Dimičeva ulica 13, 1000 Ljubljana, Tel: 01 589 81 89
OpenIT od leta 2012 izvaja poslovna izobraževanja s področja digitalnega marketinga, računovodstva, upravljanja s človeškimi viri (HR), prodaje, prava, financ, time managementa ... Več
Zlati partner

AVTERA d.o.o. – LINKSYS

Litijska 259, 1261 Ljubljana - Dobrunje, Tel: 01 58 53 610
Linksys, internet - sinonim za kvalitetno mrežno opremo, ki zagotavlja stik s svetom. Zmogljiva, varna in zanesljiva oprema za dom in manjša podjetja. Rešitve, ki jih Linksys ponuja, ... Več
Srebrni partner

STROMBOLI d.o.o.

Cesta komandanta Staneta 4a, 1215 Medvode, Tel: 01 620 88 00
Revija Računalniške novice spada med najbolj uveljavljene medije s področja informacijskih tehnologij. Ponuja kakovostno vsebino za nizko ceno, namenjena pa je predvsem objavi novosti ... Več