Internetowe pieniądze

Internet powstawał jako niekomercyjna sieć akademicka. Jego przeogromne zasoby informacyjne tworzyli - i w ogromnej części tworzą nadal - entuzjaści, ogarnięci ideą powszechnego, nieskrępowanego dostępu do wszelakiej wiedzy. Jednak zrozumiałe jest, że Internet stał się współcześnie także i "terenem" działalności komercyjnej. Firmy przede wszystkim reklamują się w Internecie, ale coraz częściej próbują także bezpośrednio prowadzić w nim biznes: przyjmują zamówienia na wysyłkową sprzedaż towarów, wykonują poprzez sieć usługi (np. tłumaczenia tekstów), bądź - sprzedają same informacje właśnie: wiele firm żyje wszak ze sprzedaży informacji i trudno sobie wyobrazić, aby udostępniały je w Internecie bezpłatnie. Gdy jednak Internet spotyka się z pieniędzmi, pojawia się problem. Internet jest z gruntu anonimowy; w swoich technicznych podstawach nie zawiera praktycznie żadnych mechanizmów mogących służyć nie tylko rozliczaniu użytkowników i obciążaniu ich należnościami, ale nawet zwykłej identyfikacji. Zrodziła się zatem pilna potrzeba opracowania metod pozwalających dokonywać płatności za towary lub usługi oferowane w Internecie.

Metody "naiwne"

Na początku stosowano metody "naiwne", polegające na połączeniu transakcji zawieranej przez sieć z zapłatą dokonywaną w sposób "klasyczny", poza Internetem. Po złożeniu zamówienia trzeba było zatem odejść od komputera i udać się do banku celem wpłacenia pieniędzy na stosowne konto w tradycyjny sposób. Tak dzieje się np. obecnie w naszym kraju, gdzie metody "naiwne" wykorzystywane są przez większość (nielicznych) firm umożliwiających zakupy przez sieć. W Polsce szczególnie chętnie stosowany jest wariant zapłaty "za pobraniem pocztowym": w takim przypadku płaci się dopiero przy odbiorze przesyłki z zamówionym towarem.

Oczywistą niedogodnością takich metod jest konieczność sfinalizowania transakcji środkami pozasieciowymi, co w znacznym stopniu niweluje szybkość i wygodę wynikającą z posługiwania się Internetem. Mogą więc być traktowane jedynie jako prowizoryczne i konieczne jest szukanie innych środków.

Karty kredytowe

Jeszcze jedną z popularnych metod płatności - zwłaszcza w "kolebce" Internetu - USA, stanowią karty płatnicze, potocznie (choć nieściśle) zwane kartami kredytowymi. Ta forma płatności okazuje się być dużo lepiej dopasowana do natury Internetu. Systemy kart kredytowych, takie jak VISA czy MasterCard, mają - podobnie jak Internet - zasięg globalny: posiadacz takiej karty wydanej przez dowolny bank na świecie może zapłacić nią w dowolnej (oczywiście należącej do systemu) firmie, w dowolnym kraju, w dowolnej walucie. Dla kart kredytowych istnieją już także wypracowane metody dokonywania transakcji "na odległość" (czyli bez fizycznego okazywania karty sprzedawcy), w przypadku gdy kupujący i sprzedający nie kontaktują się ze sobą bezpośrednio. Połączenie tych dwu cech sprawia, że karty kredytowe stanowiły niemal gotowe rozwiązanie dla płacenia przez Internet; zostały też do tego celu szybko wykorzystane i używa ich dziś zdecydowana większość sieciowych "sklepów".

Płacenie kartą w sieci polega na tym, że po zapoznaniu się z zawartością danej witryny WWW i wybraniu interesujących nas towarów bądź usług, wypełniamy na ekranie formularz, w którego pola - wśród innych niezbędnych danych (np. adresu, na który ma być wysłany zamówiony towar...) - musimy wpisać dane naszej karty kredytowej: jej numer, termin ważności oraz nasze imię i nazwisko w takim brzmieniu, jak podane na karcie. Zaakceptowanie formularza, a tym samym przesłanie tych danych do sprzedawcy, jest - zgodnie z zasadami funkcjonowania kart kredytowych - równoznaczne z dokonaniem zapłaty: odpowiednia należność obciąży nasze konto.

Niebezpieczeństwa systemu kart kredytowych

Zwróćmy uwagę, że w przedstawionej powyżej sytuacji do dokonania zapłaty wystarcza znajomość danych wypisanych na karcie - ze względu na wspomnianą wyżej anonimowość połączeń Internetowych sprzedawca nie ma żadnej możliwości sprawdzenia tożsamości kupującego (a więc tego, czy w istocie jest on posiadaczem tej karty)! Otwiera się tu więc możliwość oszustw i nadużyć. Wystarczy posłużyć się danymi z cudzej karty (np. podglądniętymi u kogoś w zwykłym, "fizycznym" sklepie), aby dokonać - bez wiedzy właściciela karty - zakupu na jego rachunek. W przypadku sprzedaży towarów materialnych, sprzedawca może się w pewnym stopniu zabezpieczyć przed nadużyciami, wprowadzając ograniczenie, iż towar może być wysłany wyłącznie na adres prawowitego posiadacza karty. Oszust nie może wówczas nakazać wysłania na swój adres towaru kupionego przy użyciu cudzej karty, a więc całe oszustwo traci sens.

Zupełnie inna sytuacja ma natomiast miejsce przy płaceniu za informację: informacja ta jest zwykle od razu po dokonaniu autoryzacji karty kredytowej transmitowana do naszego komputera - niezależnie od tego, czyjego numeru karty użyjemy. Właściciel karty może oczywiście później reklamować transakcję, ale niezależnie od uznania czy nieuznania tej reklamacji oszustwo już miało miejsce i ktoś - albo on, albo jego bank, albo sprzedawca - na tym straci.

Wspomniana powyżej niemożność zweryfikowania klienta przez sprzedawcę działa również w odwrotną stronę: także i klient nie może być pewny, że serwer, który pyta go o numer jego karty kredytowej, jest prawdziwym "sieciowym sklepem" uczciwego sprzedawcy, a nie fałszywym, "podstawionym" serwerem, umieszczonym przez kogoś w sieci specjalnie po to, aby... w łatwy sposób zbierać numery kart, wykorzystywane potem do innych transakcji! Numery takie można też uzyskiwać drogą podsłuchu - Internet, jak każdy publiczny system łączności, nie daje gwarancji, że przesyłana przez nas wiadomość nie wpadnie w ręce niepowołanych osób. Hacker, który włamie się w odpowiednio "strategiczne" miejsce sieci, może przechwytywać mnóstwo przesyłanych nią informacji.

Protokół bezpieczeństwa SSL

Jednym ze sposobów zaradzenia przedstawionym powyżej problemom jest, wprowadzony po raz pierwszy w przeglądarkach WWW firmy Netscape (a obecnie stosowany już przez wiele innych) protokół bezpieczeństwa o nazwie SSL. SSL pozwala na zaszyfrowanie danych przesyłanych pomiędzy użytkownikiem a serwerem WWW, tak że ewentualny hacker, przechwytujący transmisję, nie jest w stanie ich odczytać. W zasadzie wszystkie poważniejsze "sieciowe sklepy" używają aktualnie SSL do szyfrowania przesyłanych numerów kart kredytowych.

System SSL rozwiązuje także drugi z wymienionych problemów związanych ze stosowaniem kart kredytowych w Internecie, tzn. weryfikację sprzedawcy. Sprzedawca chcący stosować w swoim serwerze protokół SSL wykupuje od firmy RSA Inc. (będącej właścicielem patentu na użytą metodę szyfrowania), lub od innej upoważnionej przez nią instytucji certyfikującej, specjalny cyfrowy certyfikat, który po zainstalowaniu w oprogramowaniu serwera stanowi dla łączących się z nim przeglądarek potwierdzenie, że firma jest w istocie tym, za kogo się podaje (certyfikat jest rzecz jasna wystawiany po dokładnym sprawdzeniu tego faktu). SSL teoretycznie umożliwia także wykupienie sobie prywatnego certyfikatu przez klienta i stosowanie go dla potwierdzenia swojej tożsamości, z oczywistych względów trudno jednak wyobrazić sobie nakłonienie użytkowników przeglądarek WWW do masowego wykupywania certyfikatów; instytucje certyfikujące nie są zresztą przygotowane do wystawiania ich na taką skalę. Ten sposób weryfikacji klientów nie jest więc stosowany.

Pomimo zastosowania SSL nadal zatem istnieje możliwość posłużenia się zdobytym w jakiś sposób numerem cudzej karty. Niebezpieczeństwu temu usiłuje zaradzić kilka systemów omawianych poniżej.

Standard SET i CyberCash

Projekt standardu SET (Secure Electronic Transactions) lansowany jest przez dwie największe organizacje kart kredytowych na świecie - VISA i MasterCard, we współpracy z producentami oprogramowania, takimi jak Microsoft, Netscape czy IBM. Niestety, nie ma jeszcze dostępnego na rynku gotowego oprogramowania wykorzystującego ten protokół; jest on cały czas w fazie prób.

Podobnie jak SSL, system SET również opierać się będzie na certyfikatach - w przeciwieństwie jednak do SSL, gdzie certyfikat jest "ogólnym" potwierdzeniem tożsamości serwera bądź użytkownika, certyfikaty stosowane w SET przeznaczone będą tylko i wyłącznie do celów transakcji kartami kredytowymi. Certyfikaty wystawiane będą w sposób automatyczny przez specjalne serwery, zarządzane przez firmy zajmujące się rozliczaniem kart kredytowych. Swój certyfikat będzie musiał posiadać każdy potencjalny klient i każdy sprzedawca; podczas każdej transakcji oprogramowanie sprzedawcy i klienta sprawdza nawzajem swoje certyfikaty, eliminując tym samym z obu stron przypadki oszustwa.

Na razie - jak już wspomniałem - system SET nie został jeszcze praktycznie wdrożony, popularność zyskuje sobie natomiast inny, podobny system - CyberCash. CyberCash, choć różniący się oczywiście w technicznych szczegółach realizacji, opiera się na podobnej idei co SET: wzajemnym sprawdzaniu tożsamości klienta i sprzedawcy oraz szyfrowaniu przekazywanej informacji (jego twórcy zapowiadają zresztą, że CyberCash będzie zgodny ze standardem SET, gdy tylko ten zostanie ostatecznie wprowadzony do użytku).

First Virtual - zapłata kartą bez... karty. *

(Uwaga! Przeczytaj koniecznie przypis!)

Podstawową ideą systemu proponowanego przez First Virtual Holdings Inc. jest usunięcie wszystkich operacji wymagających numeru karty kredytowej całkowicie poza obręb Internetu. Zamiast prawdziwego numeru karty posługujemy się specjalnym umownym numerem kodowym - Virtual PIN. Numer karty odpowiadający danemu Virtual PIN zna jedynie First Virtual, i nie jest on nigdy przesyłany poprzez Internet (nawet aby ów Virtual PIN uzyskać, trzeba oprócz wypełnienia odpowiedniego formularza na stronie WWW podać najistotniejszą informację, czyli numer karty, telefonicznie lub faksem).

Podobnie jak prawdziwy numer karty, także i Virtual PIN ma charakter poufny i nie powinien być poznany przez osoby postronne. Jednakże Virtual PIN jest w razie jego ewentualnego ujawnienia praktycznie bezużyteczny. Podstawowym elementem bezpieczeństwa First Virtual jest bowiem konieczność potwierdzenia każdej transakcji przez posiadacza karty. Potwierdzenia te dokonywane są pocztą elektroniczną. Po wpisaniu w "sieciowym sklepie" Virtual PIN, do jego posiadacza wysyłany jest list z żądaniem potwierdzenia transakcji. Dopiero po uzyskaniu pozytywnej odpowiedzi serwer First Virtual odszukuje w swojej bazie danych prawdziwy numer karty kredytowej i przystępuje do realizacji faktycznej płatności. Użycie cudzego Virtual PIN spowoduje, że to prawowity właściciel owego numeru, a nie oszust, dostanie list z żądaniem potwierdzenia. Oszust nie będzie więc mógł nań odpowiedzieć; natomiast użytkownik, który ni stąd, ni zowąd otrzyma żądanie potwierdzenia transakcji, której nie dokonywał, może odpowiedzieć "fraud" (czyli "oszustwo"), co spowoduje natychmiastowe unieważnienie jego Virtual PIN i niemożliwość dokonania jakichkolwiek dalszych transakcji za jego pomocą (potem niestety trzeba zarejestrować sobie nowy numer).

Największą chyba zaletą systemu First Virtual jest to, że jest on "obustronny" - umożliwia również łatwe otworzenie własnego sieciowego sklepu. O ile przy poprzednich metodach prowadzenie sprzedaży w sieci dostępne było tylko dla "prawdziwych" firm, mających podpisaną odpowiednią umowę umożliwiającą przyjmowanie zapłaty kartami kredytowymi, o tyle w First Virtual wszelkie należności z kart kredytowych klientów pobierane są przez First Virtual, a nie samych sprzedawców, i przekazywane na ich konta bankowe. Swój sieciowy sklep otworzyć więc może niemal każdy, pod warunkiem posiadania konta w jakimkolwiek banku w USA (niezbędne dla elektronicznego przelewu pieniędzy).

Ecash - elektroniczna gotówka

Wszelkie systemy płatności oparte na kartach kredytowych sprawdzają się dobrze w przypadku sprzedaży dóbr materialnych, gorzej natomiast jest z wykorzystaniem ich do płacenia za udostępnianą w Internecie informację. Większość istniejących obecnie płatnych serwisów informacyjnych w Internecie opiera się na zasadzie abonamentowej: najpierw opłacamy subskrypcję danego serwisu na pewien okres, po czym uzyskujemy swój identyfikator i hasło, umożliwiające skorzystanie z systemu. Jest to rozwiązanie dobre dla osób stale korzystających z danej usługi (np. redakcja wykupująca serwis agencji prasowej), jednak zupełnie nieprzydatne dla kogoś, kto doraźnie, jednorazowo potrzebuje skorzystać z pewnych informacji np. z Internetowej encyklopedii. Tu bardziej odpowiednia byłaby metoda określana jako "pay-per-view": każdorazowego płacenia za pobranie konkretnej informacji, np. 10 centów za każde hasło z encyklopedii (są to tzw. mikropłatności). Niestety, z użyciem kart kredytowych nie bardzo da się to zrealizować.

Dla takich właśnie zastosowań (choć nie tylko) holenderska firma DigiCash opracowała system "elektronicznej gotówki" o nazwie ecash. ** System ten jest całkowicie odmienny od systemów stosujących karty kredytowe i odwzorowuje sposób zapłaty prawdziwą, "fizyczną" gotówką. Środkiem płatniczym są tu "cyfrowe banknoty", które podobnie jak prawdziwe posiadają określony nominał, niepowtarzalny numer seryjny (bardzo ważne!) oraz zabezpieczenie przed sfałszowaniem w postaci tzw. podpisu cyfrowego emitującego je banku. Jednak w przeciwieństwie do papierowych banknotów, elektroniczne są "jednorazowego użytku" - banknot o danym numerze seryjnym może być użyty tylko raz, po czym zostaje unieważniony przez bank. Podyktowane to jest faktem, iż cyfrowe banknoty, przechowywane na dysku komputera użytkownika, można byłoby przecież łatwo skopiować i tym samym kilkakrotnie płacić tymi samymi pieniędzmi.

Centralnym punktem całego systemu ecash jest bank emitujący elektroniczną walutę, w którym każdy użytkownik musi posiadać konto. Za pomocą specjalnego oprogramowania najpierw musimy podjąć z tego konta pewną sumę pieniędzy i zapisać ją w postaci elektronicznych banknotów na dysku naszego komputera. Od tej chwili możemy dokonywać zakupów. Gdy na jakiejś stronie WWW klikniemy na odnośnik do informacji, która jest odpłatna, wówczas na naszym ekranie pojawia się okienko z żądaniem zapłaty. Zaakceptowanie go powoduje pobranie odpowiedniej ilości cyfrowych pieniędzy z naszego dysku i przekazanie ich do komputera sprzedawcy, a stamtąd - na jego konto w banku. Po dokonaniu tej operacji serwer WWW przesyła nam zakupiony przez nas dokument.

Wielką zaletą systemu ecash jest to, że jest on całkowicie symetryczny: umożliwia przekazywanie pieniędzy nie tylko od klienta do sklepu jako zapłaty za kupiony towar (choć to jest jego najczęstszym zastosowaniem), ale także między dowolnymi dwoma użytkownikami systemu: można po prostu dać (przesłać) komuś swoje pieniądze, podobnie jak można to zrobić z prawdziwą gotówką. Każdy użytkownik systemu ecash może również, jeżeli zechce, bez dodatkowych kosztów otworzyć swój własny sieciowy sklep - służące do tego celu oprogramowanie jest ogólnie dostępne, na równi z wersją "kliencką".

Podobny system elektronicznej gotówki, o nazwie CyberCoin, został ostatnio włączony do oprogramowania firmy CyberCash. *** Zaletą CyberCoin w porównaniu z ecashem jest to, że nie musimy mieć konta w określonym banku, emitującym cyfrową gotówkę: możemy ją sobie sami "wyprodukować", przelewając pieniądze z... naszej karty kredytowej.

Podsumowanie

Poza omówionymi powyżej, opracowano jeszcze kilka metod elektronicznych płatności w Internecie, stanowią one jednakże raczej rozwiązania o charakterze prototypów, wykorzystywanych do badań nad tego typu sposobami płatności, niż gotowe produkty rynkowe. Z komercyjnych systemów omówionych powyżej najbardziej obiecującym i mającym szanse na szerokie rozpowszechnienie wydaje się być CyberCash - ze względu na uniwersalność, łączenie różnych metod płatności i zapowiadaną zgodność ze standardem SET. Wprawdzie niemal dwukrotnie więcej od używających CyberCash jest w sieci "sklepów" korzystających z First Virtual, jednak prawie dwie trzecie z nich zajmuje się sprzedażą raczej bezwartościowych informacji typu np. "sposób na szczęśliwe życie". Stosunkowo powoli rozpowszechnia się elektroniczna gotówka - mimo niezwykle szumnego zainaugurowania systemu ecash w 1994 r. obecnie jest w sieci tylko ok. 50 sprzedawców z nim współpracujących. Póki co, w sieciowych płatnościach dominują tradycyjne karty kredytowe. Czas bardziej zaawansowanych technicznie systemów zapewne jeszcze przed nami...

* W dniu 17 sierpnia 1998 r. system płatności First Virtual zakończył działanie - firma zrezygnowała z dalszego jego rozwijania, oferując klientom możliwość przejścia na system CyberCash.
** Firma DigiCash zbankrutowała w listopadzie 1998 r., a w połowie 1999 r. technologia ecash została wykupiona przez nową firmę eCash Technologies Inc.
*** W maju 1999 r. firma CyberCash zaprzestała dalszego utrzymywania systemu CyberCoin, skupiając się wyłącznie na obsłudze transakcji dokonanych kartami kredytowymi i (w ograniczonym zakresie) elektronicznego czeku PayNow.

Jarosław Rafa 1997. Tekst udostępniony na licencji Creative Commons (uznanie autorstwa - użycie niekomercyjne - bez utworów zależnych). Kliknij tutaj, aby dowiedzieć się, co to oznacza i co możesz z tym tekstem zrobić. W razie jakichkolwiek wątpliwości licencyjnych bądź w celu uzyskania zgody na rozpowszechnianie wykraczające poza warunki licencji proszę o kontakt e-mailem: raj@ap.krakow.pl.

Wersja HTML opracowana 22.11.97, uzupełnienia 28.10.98, 27.05.99, 17.05.2000.

Powrót do wykazu artykułów o Internecie Statystyka