Jarosław Rafa

Elektroniczne transakcje w sieci Internet

konferencja Internet-Expo '97, Poznań, 10.04.1997

Chociaż sieć Internet wywodzi się z eksperymentu wojskowego, ma ona charakter niezwykle otwarty. Stanowiące podstawę jej funkcjonowania protokoły sieciowe TCP/IP są "z gruntu anonimowe": nie zawierają (w przeciwieństwie np. do klasycznie komercyjnych sieci X.25) praktycznie żadnych mechanizmów służących weryfikacji użytkowników, nie mówiąc już o ich rozliczaniu. Taka otwartość dobrze pasowała do "starego", akademickiego modelu Internetu, w którym każdy użytkownik, niezależnie od tego kim jest, może za darmo korzystać ze wszystkich dostępnych usług i informacji. Postępująca komercjalizacja sieci spowodowała jednak, iż wiele firm zaczęło postrzegać Internet nie tylko jako środek reklamy i marketingu firmy, ale także jako "miejsce", w którym można bezpośrednio prowadzić działalność gospodarczą: wykonywać usługi (np. tłumaczenia tekstów), sprzedawać towary (na zasadzie wysyłkowej), albo... informacje - w końcu nie wszystkie informacje dostępne są za darmo! Rzecz jasna podstawowym warunkiem prowadzenia tego typu działalności jest możliwość otrzymania przez firmę należności za sprzedany towar lub usługę. Zrodziła się zatem pilna potrzeba opracowania metod płatności za owe "sieciowe zakupy".

1. Metody "naiwne".

Na początku stosowano metody "naiwne", polegające na połączeniu transakcji zawieranej przez sieć z zapłatą dokonywaną w sposób "klasyczny", poza Internetem. Po złożeniu zamówienia trzeba było zatem odejść od komputera i udać się do banku celem wpłacenia pieniędzy na stosowne konto w tradycyjny sposób. Pewną odmianą tej metody jest - stosowana szczególnie chętnie w Polsce - zapłata "za pobraniem pocztowym": w takim przypadku płaci się przy odbiorze przesyłki z zamówionym towarem.

Metody te nie różnią się w zasadzie od sposobu funkcjonowania tradycyjnej sprzedaży wysyłkowej, i charakterystyczne są dla początkowego stadium rozwoju sieciowego handlu. Tak dzieje się np. obecnie w naszym kraju, gdzie - z uwagi na wiadome słabości polskiego systemu bankowego - metody "naiwne" wykorzystywane są przez większość (nielicznych) firm umożliwiających zakupy przez sieć. Ich oczywistą niedogodnością jest konieczność sfinalizowania transakcji środkami pozasieciowymi, co rzecz jasna w znacznym stopniu niweluje szybkość i wygodę wynikającą z posługiwania się Internetem. Mogą więc być traktowane jedynie jako prowizoryczne i konieczne jest szukanie innych środków, pozwalających na realizowanie transakcji całkowicie w sieci.

2. Karty kredytowe.

Jeszcze jedną możliwą do wykorzystania "klasyczną" metodę płatności - stosowaną szczególnie chętnie w "kolebce Internetu" - USA - stanowiły karty płatnicze, popularnie zwane kartami kredytowymi (choć w istocie karty kredytowe są tylko jednym z kilku rodzajów takich kart). Karty kredytowe wydają się być dużo lepiej dopasowane do natury Internetu niż inne tradycyjne formy płatności. Uznane systemy kart kredytowych, takie jak VISA czy MasterCard, mają - podobnie jak Internet - zasięg globalny: posiadacz takiej karty wydanej przez dowolny bank na świecie może zapłacić nią w dowolnej (oczywiście należącej do systemu) firmie, w dowolnym kraju, w dowolnej walucie: odpadają wszelkie problemy związane z wymianą walut i trudnościami międzynarodowych przekazów pieniężnych. Systemy kart kredytowych mają także już wypracowane metody dokonywania transakcji "na odległość" (czyli bez fizycznego okazywania karty sprzedawcy), w przypadku gdy kupujący i sprzedający nie kontaktują się ze sobą bezpośrednio (np. przy sprzedaży wysyłkowej). Połączenie tych dwu cech sprawia, że karty kredytowe są bardzo wygodnym sposobem płacenia w Internecie - użytkownik Internetu posiadający kartę kredytową może dokonać całej transakcji praktycznie nie wstając od swojego komputera. Karty kredytowe stanowiły zatem niemal gotowe rozwiązanie dla płacenia przez Internet; zostały też do tego celu szybko wykorzystane i do dziś zdecydowana większość sieciowych "sklepów" używa w tradycyjny sposób kart kredytowych.

Sposób ten sprowadza się do tego, że po zapoznaniu się z zawartością danej witryny WWW i wybraniu interesujących nas towarów bądź usług, serwer WWW wyświetla na ekranie formularz, w którego pola - wśród innych niezbędnych danych (np. adresu, na który ma być wysłany zamówiony towar...) - musimy wpisać dane naszej karty kredytowej: jej numer, termin ważności oraz nasze imię i nazwisko w takim brzmieniu, jak podane na karcie. Zaakceptowanie formularza, a tym samym przesłanie tych danych do sprzedawcy, jest w zasadzie już dokonaniem zapłaty (osobom niezaznajomionym z zasadami funkcjonowania kart kredytowych warto polecić obszerny zbiór materiałów informacyjnych na ten temat, dostępny pod adresem http://www.sebmal.priv.pl/).

3. Niebezpieczeństwa systemu kart kredytowych.

Zwróćmy uwagę, że w przedstawionej powyżej sytuacji do dokonania zapłaty wystarcza znajomość danych wypisanych na karcie kredytowej - ze względu na wspomnianą na wstępie "anonimowość" połączeń Internetowych sprzedawca nie ma żadnej możliwości sprawdzenia tożsamości kupującego (a więc tego, czy w istocie jest on posiadaczem tej karty)! Otwiera się tu więc możliwość oszustw i nadużyć. Wystarczy posłużyć się danymi z cudzej karty (np. podglądniętymi u kogoś w zwykłym, "fizycznym" sklepie), aby dokonać - bez wiedzy właściciela karty - zakupu na jego rachunek. W przypadku sprzedaży tzw. "hard goods", czyli towarów materialnych, sprzedawca może się w pewnym stopniu zabezpieczyć przed nadużyciami, wprowadzając ograniczenie (dość powszechnie stosowane), iż towar może być wysłany wyłącznie na adres prawowitego posiadacza karty (adres ten weryfikowany jest przez bank - wystawcę karty podczas autoryzacji transakcji). Przy takim ograniczeniu oszust nie może nakazać wysłania na swój adres towaru kupionego przy użyciu cudzej karty, a więc całe oszustwo traci sens.

Zupełnie inna sytuacja ma natomiast miejsce przy płaceniu za informację: informacja ta jest transmitowana przez Internet do naszego komputera - zwykle od razu po dokonaniu autoryzacji karty kredytowej przez serwer sprzedawcy - niezależnie od tego, czyjego numeru karty użyjemy. Właściciel karty może oczywiście później reklamować transakcję, ale niezależnie od uznania czy nieuznania tej reklamacji oszustwo już miało miejsce i ktoś na tym stracił.

Oszust może "zbierać" numery kart kredytowych podglądając je w sklepach, jednak dużo efektywniejszą metodą jest przechwytywanie ich z samego Internetu. Dość szeroko rozpowszechniony jest pogląd o całkowitym braku bezpieczeństwa informacji przesyłanej Internetem: w wielu tekstach spotkać można stwierdzenie, że przesłanie tajnej informacji (takiej jak np. numer swojej karty kredytowej) przez Internet jest niemalże równoznaczne z ogłoszeniem jej wszystkim potencjalnie zainteresowanym. W mojej opinii pogląd ten wydaje się być nieco przesadzony. Bezpieczeństwo wiadomości przekazywanej przez Internet niewiele różni się od bezpieczeństwa rozmowy telefonicznej przez zwykłą publiczną sieć telefoniczną. I w jednym, i w drugim przypadku podsłuch jest stosunkowo nietrudny, ale i nie trywialny: wymaga zaangażowania pewnego wysiłku i umiejętności. Faktem jest jednakże, że dzięki możliwościom komputerów "podsłuchiwanie" w Internecie może być przez włamywacza - gdy już się włamie w odpowiednie miejsce - dokonywane dużo sprawniej i na znacznie większą skalę, niż w przypadku telefonu; na dodatek praktycznie bez śladów. Tak czy owak, istnieje niebagatelne prawdopodobieństwo "podsłuchania" numeru karty kredytowej przesyłanego przez Internet w sposób jawny, co narzuca konieczność stosowania szyfrowania.

Wspomniana powyżej niemożność zweryfikowania klienta przez sprzedawcę działa również w odwrotną stronę: także i klient nie może być pewny, że serwer, który pyta go o numer jego karty kredytowej, jest prawdziwym "sieciowym sklepem" uczciwego sprzedawcy, a nie fałszywym, "podstawionym" serwerem, umieszczonym przez kogoś w sieci specjalnie po to, aby... w łatwy sposób zbierać numery kart kredytowych!

Podsumowując zatem, przy transakcjach kartami kredytowymi w Internecie mamy do czynienia z trzema podstawowymi problemami:

4. Szyfrowanie numerów kart kredytowych - protokół SSL.

Ze względu na wspomniane wcześniej opinie o bezpieczeństwie Internetu (a raczej jego braku), spośród wymienionych powyżej problemów właśnie możliwość podsłuchu - i przechwycenia tą drogą numerów kart - w największym stopniu "spędzała sen z powiek" firmom chętnym do prowadzenia sieciowego biznesu. Dla zaradzenia temu problemowi powstał protokół SSL (Secure Sockets Layer), opracowany przez firmę Netscape i zastosowany w jej przeglądarkach i serwerach WWW. SSL jest narzędziem zapewniającym po prostu możliwość zaszyfrowania dowolnego połączenia Internetowego między programami obsługującymi ten standard, tak że przesłana informacja będzie nieczytelna dla osoby podsłuchującej (wykorzystywany jest popularny algorytm szyfrowania z tzw. kluczem publicznym - RSA). Nadaje się do wszystkich usług Internetowych, aczkolwiek jak dotychczas używany jest głównie w połączeniu z WWW. Początkowo system SSL pojawił się - jak już wspomniano - w oprogramowaniu firmy Netscape, ale ponieważ specyfikacja standardu jest publicznie dostępna, zaczął być implementowany także w innych programach - w chwili obecnej obsługuje go m.in. używana w Windows 95 przeglądarka Microsoft Internet Explorer, a także najpopularniejszy na świecie serwer WWW - Apache.

W zasadzie wszystkie sieciowe sklepy wymagające podania numeru karty kredytowej korzystają aktualnie z SSL. Z reguły przeglądanie zawartości witryny i wybór towarów do zakupu odbywa się w zwykły sposób, bez wykorzystania szyfrowania; dopiero końcowy formularz zamówienia, w którym trzeba wpisać dane karty kredytowej, przekazywany jest w sposób "bezpieczny" (przeglądarka Netscape sygnalizuje taką sytuację wyświetleniem niebieskiego obramowania powyżej oglądanej strony oraz symbolu klucza u dołu ekranu).

System SSL rozwiązuje także niejako "przy okazji" trzeci z wymienionych problemów związanych ze stosowaniem kart kredytowych w Internecie, tzn. weryfikację sprzedawcy. Wykorzystuje w tym celu "tkwiącą" w algorytmie RSA możliwość stosowania tzw. certyfikowania kluczy. Sprzedawca stosujący w swoim serwerze WWW protokół SSL powinien wykupić sobie od firmy RSA, będącej właścicielem algorytmu, lub innej upoważnionej przez nią instytucji certyfikującej (certification authority - CA) specjalny cyfrowy certyfikat, który po zainstalowaniu w oprogramowaniu serwera stanowi dla łączących się z nim przeglądarek zgodnych z SSL potwierdzenie, że firma jest w istocie tym, za kogo się podaje (certyfikat jest rzecz jasna wystawiany po dokładnym sprawdzeniu tego faktu). W przypadku, gdy serwer nie posiada certyfikatu lub certyfikat wystawiony jest przez nieznaną programowi CA przeglądarka ostrzeże nas o tym fakcie i zapyta, czy mimo to chcemy kontynuować połączenie (tak jest w przypadku Netscape'a; Internet Explorer odmawia w ogóle połączenia z takimi serwerami).

SSL teoretycznie umożliwia także wykupienie sobie prywatnego certyfikatu przez klienta i stosowanie go dla potwierdzenia swojej tożsamości, z oczywistych względów trudno jednak wyobrazić sobie nakłonienie użytkowników przeglądarek WWW do masowego wykupywania sobie certyfikatów; nie są zresztą do tego przygotowane instytucje certyfikujące. Ten sposób weryfikacji klientów nie jest więc stosowany.

Pomimo zastosowania SSL nadal zatem istnieje możliwość posłużenia się zdobytym w jakiś sposób numerem cudzej karty. Nie jest to naturalnie sytuacja pożądana, toteż prowadzone są intensywne prace nad rozwiązaniem tego problemu. W ich wyniku powstało kilka alternatywnych rozwiązań, omawianych poniżej.

5. Standard SET.

Projekt standardu SET (Secure Electronic Transactions) ogłoszony został 1 lutego 1996 przez dwie największe organizacje kart kredytowych na świecie - VISA i MasterCard, we współpracy z producentami oprogramowania, takimi jak Microsoft, Netscape czy IBM. Ma on stanowić połączenie dwu wcześniejszych niezależnych projektów - STT (Secure Transaction Technology), opracowywanego przez VISA, i SEPP (Secure Electronic Payment Protocol), autorstwa MasterCard. Niestety, wciąż jeszcze nie jest gotowy: komercyjne udostępnienie systemu zapowiadano na koniec 1996 r., tymczasem w chwili obecnej nadal nie wyszedł on jeszcze z etapu opracowań i testów; niedawno - w lutym 1997 - ogłoszono kolejną wersję jego specyfikacji.

Podobnie jak SSL, system SET również opierać się będzie na certyfikatach - w przeciwieństwie jednak do SSL, gdzie certyfikat jest "ogólnym" potwierdzeniem tożsamości serwera bądź użytkownika, certyfikaty stosowane w SET przeznaczone będą tylko i wyłącznie do celów transakcji kartami kredytowymi. Certyfikaty wystawiane będą w sposób automatyczny przez specjalne serwery, zarządzane przez firmy zajmujące się rozliczaniem kart kredytowych. Po połączeniu się z takim serwerem (oczywiście połączenie będzie szyfrowane) musimy podać dane naszej karty kredytowej oraz nasze dane osobowe, pozwalające na zweryfikowanie tożsamości (np. numer prawa jazdy, adres zamieszkania itp.). Po sprawdzeniu tych danych w naszym banku (odbywa się to oczywiście poza Internetem, poprzez istniejące prywatne sieci międzybankowe służące do autoryzacji kart kredytowych) serwer przesyła do naszego komputera gotowy certyfikat, który zostaje zapamiętany na naszym dysku. Analogicznej procedury - dla uzyskania swojego certyfikatu - musi dopełnić również sprzedawca, który chce przyjmować płatności kartami w systemie SET. Po dopełnieniu tych wstępnych czynności, podczas każdej transakcji oprogramowanie sprzedawcy i klienta sprawdza nawzajem swoje certyfikaty, eliminując tym samym z obu stron przypadki oszustwa.

Póki co jednak system SET istnieje tylko na papierze, a praktyczną popularność zyskują sobie dwa inne rozwiązania płatności przez Internet z wykorzystaniem kart kredytowych: CyberCash i First Virtual.

6. CyberCash.

CyberCash jest systemem podobnym w założeniach do SET: również opiera się na wzajemnym sprawdzaniu tożsamości klienta i sprzedawcy oraz szyfrowaniu przekazywanej informacji (oprogramowanie CyberCash ma być zresztą kompatybilne ze standardem SET, gdy tylko ten zostanie ostatecznie wprowadzony do użytku). W systemie tym po obu stronach używane są specjalizowane programy, współpracujące z przeglądarką lub serwerem WWW: po stronie kupującego - Wallet (ang. portfel), po stronie sprzedawcy - Cash Register. Elementem wykraczającym poza standard SET jest fakt, że dane o karcie kredytowej klienta, przesłane w formie zaszyfrowanej do sprzedawcy, nie mogą być przez niego rozszyfrowane: sprzedawca jedynie dodaje do nich własne informacje identyfikacyjne i przesyła do obsługującego cały system serwera firmy CyberCash, który dopiero rozkodowuje informację i dokonuje autoryzacji transakcji (ta ostatnia operacja odbywa się rzecz jasna poprzez zamknięte sieci używane do obsługi kart kredytowych).

Najnowsze wersje oprogramowania CyberCash oferują już więcej niż tylko kolejny sposób płacenia za pomocą kart kredytowych: ambicją firmy jest zrealizowanie kompletnego systemu pozwalającego na realizację wszelkich typów płatności. Obok kart kredytowych, niedawno wprowadzona została "elektroniczna gotówka" o nazwie CyberCoin, funkcjonująca na analogicznej zasadzie co opisywany dalej ecash, * a w fazie testów jest elektroniczny odpowiednik czeku, pozwalający na przekazywanie pieniędzy bezpośrednio ze swojego konta bankowego.

Program Wallet wymaga przed pierwszym użyciem wprowadzenia przez użytkownika danych kart kredytowych (może ich być dowolna liczba), których użytkownik będzie chciał używać w systemie ("włożenia ich do portfela"). Dane te są weryfikowane za pośrednictwem serwera CyberCash przez centrum autoryzacji kart, i dopiero potem generowany jest certyfikat, który będzie poświadczał tożsamość użytkownika. Do "portfela" można dodawać nowe karty lub usuwać zeń już tam się znajdujące - przy każdorazowej takiej zmianie powtarzana jest operacja certyfikowania.

Warto nadmienić, że przeznaczony dla sprzedawców program Cash Register jest bardzo uniwersalny: umożliwia obsługę nie tylko transakcji dokonywanych z użyciem programu Wallet, ale także w sposób "zwykły", poprzez wpisanie w formularzu WWW numeru karty (oczywiście traci się wtedy możliwość zweryfikowania tożsamości klienta), jak również transakcji dokonywanych przez telefon czy faks (w tych przypadkach sprzedawca musi rzecz jasna wprowadzić dane ręcznie). Zarówno programy dla kupujących, jak i dla sprzedawców są bezpłatne, nie ma także żadnych opłat (wyjąwszy normalne opłaty związane z kartami pobierane przez centra autoryzacyjne) za obsługę kart kredytowych za pomocą systemu (sprzedawcy płacą natomiast prowizję od transakcji dokonywanych przy użyciu "elektronicznej gotówki" CyberCoin). Warianty systemu opracowanego przez CyberCash są także oferowane pod własnymi nazwami przez kilka innych firm i instytucji (np. system obsługiwany przez narodowy bank Kanady - Securnat); wszystkie one są wzajemnie kompatybilne i możliwe jest zamienne płacenie za ich pomocą.

7. First Virtual, czyli zapłata kartą bez... karty. **

(Uwaga! Przeczytaj koniecznie przypis!)

Podstawową ideą systemu proponowanego przez First Virtual Holdings Inc. jest usunięcie wszystkich operacji wymagających podawania numeru karty kredytowej całkowicie poza obręb Internetu. Zamiast prawdziwego numeru karty posługujemy się specjalnym umownym numerem kodowym - Virtual PIN, który podajemy we wszystkich transakcjach realizowanych za pośrednictwem systemu. Prawdziwy numer karty kredytowej odpowiadający danemu Virtual PIN zna jedynie First Virtual, i nie jest on nigdy przesyłany poprzez Internet.

Sporą niedogodnością przy uzyskiwaniu Virtual PIN jest fakt, że w myśl zasady firmy - nieprzesyłania numerów kart kredytowych przez Internet - po wypełnieniu odpowiedniego formularza rejestracyjnego na stronie WWW trzeba dodatkowo podać najistotniejszą informację - numer karty - telefonicznie lub faksem, co stanowi nie lada "zawalidrogę" w toku operacji wykonywanych przez sieć. Nie jest to zbyt zachęcające zwłaszcza dla użytkowników spoza USA (koszty połączeń międzynarodowych), dobrze przynajmniej, że trzeba to zrobić tylko raz...

Podobnie jak prawdziwy numer karty kredytowej, także i Virtual PIN ma charakter poufny i nie powinien być poznany przez osoby postronne. W przeciwieństwie jednakże do numeru karty, Virtual PIN sam w sobie jest w razie jego ewentualnego ujawnienia praktycznie bezużyteczny. Podstawowym elementem bezpieczeństwa systemu First Virtual jest bowiem konieczność potwierdzenia każdej transakcji przez posiadacza karty - analogicznie jak ma to miejsce przy bezpośrednim użyciu karty kredytowej w "fizycznym" sklepie. Potwierdzenia te dokonywane są w First Virtual zwykłą pocztą elektroniczną. Rejestrując swój Virtual PIN użytkownik musi określić adres e-mail, na który będą przychodziły wszelkie żądania potwierdzeń. Bez pozytywnej odpowiedzi na takie żądanie żadna płatność nie zostanie dokonana.

W sieciowych sklepach korzystających z First Virtual na ekranie zamiast formularza pytającego o numer karty kredytowej pojawia się pytanie o Virtual PIN (z uwagi na wspomnianą bezużyteczność podsłuchanego numeru, formularz ten może nawet nie być szyfrowany przez SSL). Oprogramowanie serwera sprzedawcy przesyła otrzymany Virtual PIN (po wstępnym zweryfikowaniu jego istnienia, co można zrobić nawet zwykłą komendą finger) wraz z własnym Virtual PIN sprzedawcy zwyczajnym e-mailem na adres First Virtual. Serwer First Virtual z kolei odszukuje w swojej bazie danych adres posiadacza owego numeru i wysyła mu list z żądaniem potwierdzenia transakcji. To właśnie jest kluczowy punkt koncepcji First Virtual: użycie cudzego numeru Virtual PIN spowoduje, że to prawowity właściciel owego numeru, a nie oszust, dostanie list z żądaniem potwierdzenia. Oszust nie będzie więc mógł nań odpowiedzieć; natomiast użytkownik, który ni stąd, ni zowąd otrzyma żądanie potwierdzenia transakcji, której nie dokonywał, może odpowiedzieć "fraud" (czyli "oszustwo"), co spowoduje natychmiastowe unieważnienie jego Virtual PIN (potem niestety trzeba przejść od początku procedurę rejestracji nowego...).

Jeżeli odpowiedź użytkownika była pozytywna, serwer First Virtual odszukuje w bazie danych prawdziwy numer jego karty kredytowej i rozpoczyna procedurę autoryzacji transakcji (oczywiście jak w poprzednich rozwiązaniach, poprzez specjalizowane sieci bankowe). Odpowiedź użytkownika wraz z odpowiedzią centrum autoryzacyjnego przesyłana jest z powrotem sprzedawcy (tu znowu adres ustalany jest na podstawie Virtual PIN sprzedawcy, a więc i z tej strony podszycie się osoby nieuprawnionej będzie bezskuteczne). Jeżeli obie odpowiedzi są pozytywne, sprzedawca przystępuje do wysyłki towaru, a firma First Virtual sama zajmie się przekazaniem należności na jego konto bankowe.

Tak wygląda sytuacja przy sprzedaży dóbr materialnych. W przypadku handlowania informacją rzecz ma się nieco inaczej, gdyż firma First Virtual zaleca sprzedawcom (aczkolwiek nie wymaga tego), aby informacja udostępniana była na zasadzie "wypróbuj przed zapłaceniem", podobnej jak w przypadku oprogramowania shareware. Po podaniu numeru Virtual PIN i sprawdzeniu przez sprzedawcę, że numer taki na pewno istnieje, możemy zatem od razu skopiować z serwera sprzedawcy żądaną informację. Jeżeli uznamy, że nie będzie ona dla nas użyteczna, wolno nam, w odpowiedzi na przychodzący następnie list z żądaniem potwierdzenia transakcji, odmówić zapłaty. Jest to swoista ciekawostka systemu First Virtual - oczywiście nie możemy korzystać z tej możliwości zbyt często, gdyż w tym przypadku zostaniemy uznani za nieuczciwych i nasz Virtual PIN zostanie unieważniony.

Największą chyba zaletą systemu First Virtual jest to, że jest on "obustronny" - umożliwia również łatwe otworzenie własnego sieciowego sklepu. O ile w omówionych dotychczas metodach prowadzenie sprzedaży w sieci dostępne było tylko dla "prawdziwych" firm, mających możliwość przyjmowania zapłaty kartami kredytowymi (podpisaną umowę z odpowiednim centrum autoryzacyjnym), o tyle w First Virtual wszelkie należności z kart kredytowych klientów pobierane są na rzecz First Virtual, a nie samych sprzedawców. Sprzedawca nie ma nic do czynienia z obsługą kart kredytowych: wystarczy tylko posiadanie konta w jakimkolwiek amerykańskim banku, na które First Virtual przelewa przysługujące sprzedawcy należności. Swój sieciowy sklep otworzyć więc może niemal każdy, aczkolwiek wspomniany wymóg posiadania konta w amerykańskim banku (wynikający z wykorzystywania przez First Virtual sieci Automated Clearinghouse, obsługującej elektroniczne przelewy między bankami w USA) w praktyce ogranicza grono sieciowych sprzedawców do mieszkańców USA.

Korzystanie z systemu First Virtual jest płatne: za używanie numeru Virtual PIN płaci się stałą opłatę roczną (aktualnie dla kupujących 2$, dla sprzedających 10$), sprzedawcy płacą także prowizję od każdej transakcji.

8. Ecash - elektroniczna gotówka.

Wszelkie systemy płatności oparte na kartach kredytowych sprawdzają się dobrze w przypadku sprzedaży dóbr materialnych, gorzej natomiast jest z wykorzystaniem ich do płacenia za udostępnianą w Internecie informację (wyjątkiem jest tu jedynie First Virtual). Większość istniejących obecnie płatnych serwisów informacyjnych w Internecie (np. baz danych czy serwisów agencji prasowych) opiera się na zasadzie abonamentowej: najpierw opłacamy subskrypcję danego serwisu na pewien okres (co można zrobić za pomocą karty kredytowej), po czym uzyskujemy swój identyfikator i hasło, umożliwiające skorzystanie z systemu. Jest to rozwiązanie dobre dla osób stale korzystających np. z określonych baz danych, jednak zupełnie nieprzydatne dla kogoś, kto doraźnie, jednorazowo potrzebuje skorzystać z informacji zawartych np. w Internetowej wersji Encyclopaedia Britannica. Tu bardziej odpowiednia byłaby metoda określana jako pay-per-view: każdorazowego płacenia za pobranie konkretnej informacji (są to tzw. mikropłatności: np. 10 centów za każde hasło z encyklopedii). Niestety, z użyciem kart kredytowych nie bardzo da się to zrealizować.

Dla takich wlaśnie zastosowań (choć nie tylko) holenderska firma DigiCash opracowała system "elektronicznej gotówki" o nazwie ecash. *** System ten jest całkowicie odmienny od systemów stosujących karty kredytowe i odwzorowuje sposób zapłaty realną gotówką w świecie fizycznym. Środkiem płatniczym są tu "cyfrowe banknoty", które podobnie jak prawdziwe posiadają określony nominał, niepowtarzalny numer seryjny (bardzo ważne!) oraz zabezpieczenie przed sfałszowaniem w postaci tzw. podpisu cyfrowego emitującego je banku (jak we wszystkich zastosowaniach kryptograficznych w Internecie, także i tu używany jest "nieśmiertelny" algorytm RSA). Jednak w przeciwieństwie do papierowych banknotów, elektroniczne są "jednorazowego użytku" - banknot o danym numerze seryjnym może być użyty tylko raz, po czym zostaje unieważniony przez bank. Podyktowane to jest faktem, iż cyfrowe banknoty, przechowywane na dysku komputera użytkownika, można byłoby przecież łatwo skopiować i tym samym kilkakrotnie płacić tymi samymi pieniędzmi.

Centralnym punktem całego systemu ecash jest bank emitujący elektroniczną walutę, w którym każdy użytkownik musi posiadać konto. Obecnie ecash emitują dwa banki na świecie - Mark Twain w USA i Merita w Finlandii (we współpracy z fińskim oddziałem EUnetu), a przygotowują się do takiego przedsięwzięcia Deutsche Bank oraz australijski Advance Bank. **** Za pomocą specjalnego oprogramowania obsługującego system najpierw musimy podjąć z tego konta pewną sumę pieniędzy i zapisać ją w postaci elektronicznych banknotów na dysku naszego komputera. Od tej chwili możemy dokonywać zakupów. W tym celu program ecash powinien cały czas pracować "w tle" na naszym komputerze: gdy na jakiejś stronie WWW klikniemy na odnośnik do informacji, która jest odpłatna, wówczas program ecash pracujący na serwerze WWW łączy się z naszym i przesyła doń żądanie zapłaty. Na ekranie pojawia się okienko z informacją o szczegółach transakcji (wysokość żądanej sumy oraz komu i za co płacimy) i prośbą o zgodę na dokonanie płatności. Zaakceptowanie transakcji powoduje pobranie odpowiedniej ilości cyfrowych pieniędzy z naszego dysku i przekazanie ich do komputera sprzedawcy. Stamtąd wędrują one natychmiast do serwera banku, który sprawdza, czy banknot o takim numerze seryjnym nie był już użyty, po czym wpłacona kwota zostaje dopisana do konta sprzedawcy, zaś jego serwer WWW przesyła nam zakupiony przez nas dokument.

Wielką zaletą systemu ecash jest to, że jest on całkowicie symetryczny: umożliwia przekazywanie pieniędzy nie tylko od klienta do sklepu jako zapłaty za kupiony towar (choć to jest jego najczęstszym zastosowaniem), ale także między dowolnymi dwoma użytkownikami systemu, w dowolnej chwili i z dowolnego powodu: można po prostu dać komuś swoje pieniądze, podobnie jak można to zrobić z prawdziwą gotówką. Każdy użytkownik systemu ecash może również, jeżeli zechce, bez dodatkowych kosztów otworzyć swój własny sieciowy sklep - służące do tego celu oprogramowanie jest dostępne za darmo dla każdego posiadacza konta na równi z wersją "kliencką". Autorzy systemu podkreślają także aspekt ochrony prywatności użytkownika: w przeciwieństwie do wszelkich płatności kartami kredytowymi, przy których z natury rzeczy dane o każdej transakcji muszą być rejestrowane w dokumentach banku, ecash jest systemem całkowicie anonimowym, podobnie jak płacenie gotówką w sklepie. W istocie, jednym z założeń przyjętych przy projektowaniu systemu było uniemożliwienie jakiejkolwiek identyfikacji osoby płacącej elektroniczną gotówką (chyba, że ona sama się przedstawi).

Podobny system elektronicznej gotówki, o nazwie CyberCoin, został ostatnio włączony do oprogramowania firmy CyberCash. * Zaletą CyberCoin w porównaniu z ecashem jest to, że nie musimy mieć konta w określonym banku, emitującym cyfrową gotówkę: możemy ją sobie sami "wyprodukować" za pomocą programu Wallet, przelewając pieniądze z... naszej karty kredytowej.

Podsumowanie.

Poza omówionymi powyżej, opracowano jeszcze kilka metod elektronicznych płatności w Internecie, stanowią one jednakże raczej rozwiązania o charakterze prototypów, wykorzystywanych do badań nad tego typu sposobami płatności niż gotowe produkty rynkowe, i nie są prawie w ogóle rozpowszechnione (np. system NetBill opracowany w Carnegie-Mellon University, albo NetCheque/NetCash z University of Southern California). Istnieje też inny system o nazwie NetCash - bardzo prymitywny system elektronicznej gotówki oparty na e-mailu, pozbawiony całkowicie jakichkolwiek zabezpieczeń kryptograficznych i mogący być traktowany raczej tylko jako model tego typu transakcji, choć oferowany jako produkt komercyjny. +

Z komercyjnych systemów omówionych powyżej najbardziej obiecującym i mającym szanse na szerokie rozpowszechnienie wydaje się być CyberCash - ze względu na uniwersalność, łączenie różnych metod płatności i zapowiadaną kompatybilnośc ze standardem SET. Nie jest on jednakże najpopularniejszy - w chwili obecnej w Internecie jest ok. 140 witryn przyjmujących płatności za pomocą programu Wallet (zarówno kartami kredytowymi, jak i przy użyciu CyberCoin), podczas gdy dwa razy tyle liczy sobie lista sprzedawców wykorzystujących First Virtual. Jednak prawie dwie trzecie spośród nich to sprzedawcy "wystawiający się" na witrynie InfoHaus - obsługiwanym przez First Virtual "domu towarowym" przeznaczonym do handlowania informacją. Informacje te są często dość wątpliwej wartości - wśród propozycji prezentowanych w InfoHaus znaczną część stanowią oferty typu "sposób na szczęśliwe życie", "50 metod robienia biznesu w Internecie" itp.

Stosunkowo powoli rozpowszechnia się elektroniczna gotówka - mimo niezwykle szumnego zainaugurowania systemu ecash w 1994 r. obecnie jest w sieci tylko ok. 50 sprzedawców z nim współpracujących; jeszcze mniej - co jest zrozumiałe ze względu na krótki czas istnienia tego produktu - akceptuje CyberCoin.

Póki co, w sieciowych płatnościach dominują tradycyjne karty kredytowe. Czas bardziej zaawansowanych technicznie systemów zapewne jeszcze przed nami...


* W maju 1999 r. firma CyberCash zaprzestała dalszego utrzymywania systemu CyberCoin, skupiając się wyłącznie na obsłudze transakcji dokonanych kartami kredytowymi i (w ograniczonym zakresie) elektronicznego czeku PayNow.
** W dniu 17 sierpnia 1998 r. system płatności First Virtual zakończył działanie - firma zrezygnowała z dalszego jego rozwijania, oferując klientom możliwość przejścia na system CyberCash.
*** Firma DigiCash zbankrutowała w listopadzie 1998 r., a w połowie 1999 r. technologia ecash została wykupiona przez nową firmę eCash Technologies Inc.
**** Mark Twain Bank w 1998 r. wycofał się z udziału w systemie ecash; projekt kontynuowało następnie 7 banków (do wymienionych w artykule dołączyły Bank Austria, Den norske Bank z Norwegii i Swissnetpay). Po bankructwie firmy DigiCash w większości z tych banków projekty związane z ecashem zostały wstrzymane (kontynowane są nadal w bankach australijskich). Jak dotąd jednak tylko jeden bank - Deutsche Bank 24, oddział Deutsche Banku zajmujący się bankowością elektroniczną - zdecydował się na w pełni komercyjne udostępnienie tego produktu.
+ System ten obecnie nie jest już dostępny.


Jarosław Rafa 1997. Tekst udostępniony na licencji Creative Commons (uznanie autorstwa - użycie niekomercyjne - bez utworów zależnych). Kliknij tutaj, aby dowiedzieć się, co to oznacza i co możesz z tym tekstem zrobić. W razie jakichkolwiek wątpliwości licencyjnych bądź w celu uzyskania zgody na rozpowszechnianie wykraczające poza warunki licencji proszę o kontakt e-mailem: raj@ap.krakow.pl.

Wersja HTML opracowana 17.03.97, uzupełnienia 28.10.98, 27.05.99, 17.05.2000.


Powrót do wykazu artykułów o Internecie Statystyka