Ryzyko wygody

Polskie sklepy internetowe nie są jednakowo traktowane przez centra autoryzacyjne kart płatniczych.

Polskie sklepy internetowe nie są jednakowo traktowane przez centra autoryzacyjne kart płatniczych.

"Biznes kart płatniczych sprowadza się do właściwego administrowania ryzykiem" - twierdzi Rafał Pietrak, ekspert ds. płatności elektronicznych w firmie PolCard. Przed taką instytucją jak Pol-Card, zajmującą się skupowaniem transakcji (acquirer), Internet stawia nowe wyzwania.

Wszystkie zakupy dokonywane przez Internet traktowane są przez Polcard jako transakcje typu MOTO (Mail Order, Telephone Order), czyli zamówienie składane listownie lub telefoniczne. Są one obarczone większym ryzykiem i dlatego istnieje obowiązek ich autoryzacji (jeśli sprzedający chce mieć gwarancję otrzymania zapłaty).

Sklep internetowy pragnący umożliwić klientom płatności przez Internet musi podpisać z PolCardem ogólną umowę wraz z aneksem na zamówienia pocztowe (także telefoniczne), co wiąże się ze spełnieniem określonych przez PolCard wymogów. Dlatego niektóre mniejsze czy mniej znane sklepy internetowe wymagają potwierdzania płatności faksem (co sprawia, że ich oferta jest mniej atrakcyjna dla użytkowników Internetu, dla których taka forma sprzedaży staje się kłopotliwa). Zwyczajowa prowizja wynosi ok. 3-4%.

Zasadą wyjątek

Nie ma standardowej procedury postępowania. Duża znana firma może od razu zostać zwolniona z obowiązku takiego potwierdzania transakcji. Wiele zależy od oceny konkretnego przypadku, w tym poziomu sprzedaży. Przedstawiciele PolCardu wizytują siedzibę sklepu internetowego i na miejscu oceniają poziom zabezpieczeń (istotną sprawą jest bowiem poufność numerów kart zgromadzonych na serwerze, na którym prowadzony jest wirtualny sklep).

Właściciele sklepów internetowych narzekają, że są traktowani przez PolCard "po macoszemu", ale z perspektywy tej firmy sprzedaż w sieci na obecnym poziomie przysparza więcej kłopotów niż pożytku. Dla PolCardu obecna wartość transakcji zawieranych na polskim rynku w Internecie stanowi marginalną, wręcz ułamkową część procenta obrotów. Realną alternatywą jest skorzystanie z oferty centrów autoryzacyjnych znajdujących się za granicą, ale to rozwiązanie wiąże się z koniecznością dłuższego oczekiwania na transfer pieniędzy.

Potwierdzenia

W tradycyjnej transakcji prowadzonej z użyciem kart płatnicznych zabezpieczać się musi jedynie sprzedający, dla klienta fizyczna obecność sprzedawcy w sklepie jest wystarczającym dowodem uwierzytelniania. W Internecie natomiast autentyfikacja powinna dotyczyć obu stron transakcji - klient nie ma bowiem nigdy pewności, czy sklep internetowy, w którym chce robić zakupy, istnieje, czy może jedynie jest miejscem przechwytywania numerów kart kredytowych.

W Polsce na razie nie planuje się wdrożenia rozwiązań SET (Secure Electronic Transactions), stanowiących przełom w elektronicznych płatnoś-ciach. Według analiz przeprowadzonych przez PolCard, wdrożenie SET przy obecnym poziomie zawieranych transakcji byłoby nieopłacalne. Uwierzytelnienie klientów (dające przy zastosowaniu transmisji SSL podobną funkcjonalność jak przy SET) można jednak osiągnąć poprzez dołączanie do każdej karty płatniczej, wydawanej przez bank, elektronicznego certyfikatu. Na to jednak trzeba poczekać.

Nowe pomysły

Prowadzona przez PolCard autoryzacja transakcji w sklepach internetowych odbywa się na drodze elektronicznej, lecz nigdy w trybie on-line. Zgromadzone dane są przesyłane do PolCardu (prostym nie szyfrowanym plikiem tekstowym zawierającym podstawowe informacje o autoryzowanych transakcjach poprzez połączenie komutowane do serwera FTP). Stąd są one pobierane (z opóźnieniem nie dłuższym niż doba). Dla domów wysyłkowych taka zwłoka nie stanowi większego problemu, natomiast może utrudniać prowadzenie sprzedaży oprogramowania czy dokumentów, które użytkownik chciałby natychmiast ściągnąć na swój komputer. "Naszym zdaniem, takie zastosowania wymagające natychmiastowej autoryzacji są zupełnie marginalne" - twierdzi Rafał Pietrak. Zakładane opóźnienie pozbawia możliwości praktycznego działania automatyczne generatory numerów kart kredytowych, które mogłyby przesyłać kolejne numery kart aż do otrzymania pozytywnej odpowiedzi. Dlatego Pol-Card nie zrezygnuje z autoryzacji w trybie sesyjnym, dopóki kupujący pozostaje anonimowy.

PolCard pracuje obecnie nad rozwiązaniem, w którym numery kart kredytowych nie trafiałyby do internetowego sklepu. Otrzymywałby on jedynie informację o autoryzacji transakcji. Rozwiązanie to zostanie wdrożone w drugiej połowie br.

Tradycja i nowoczesność

Tradycyjny system elektronicznych płatności kartami jest stabilny z uwagi na jego rozproszenie. Z tego punktu widzenia gorsze są rozwiązania elektronicznych płatności proponowane dla Internetu, zakładające istnieje jednego centrum, bez którego funkcjonowanie reszty nie jest możliwie.

Analogie istniejących rozwiązań między USA a Europą w pewnym momencie zawodzą. Największe różnice to konieczność weryfikacji adresu kupującego w Ameryce i maksymalna (tzw. Floor Limit) wysokość transakcji, jakich nie trzeba autoryzować (o tym zadecydował czynnik masowości - bardziej opłaca się ponosić drobne straty niż autoryzować wiele drobnych transakcji). Na tych różnicach bazują oszuści, którzy wiedzą, że w Europie nie porównuje się podstawowych danych umieszczonych na karcie z adresem klienta, w USA zaś można płacić niewielkie kwoty (zwykle do 50 USD) bez obawy, że ktoś będzie sprawdzał ważność karty.