Trendy i ograniczenia rozwoju transakcji elektronicznych

Konferencja "Praktyka zabezpieczania transakcji elektronicznych"
Warszawa, 27 kwietnia 2000

Poprzez określenie "transakcje elektroniczne" ogólnie rzecz biorąc rozumiemy wszelkie operacje finansowe dokonywane na odległość za pośrednictwem środków elektronicznych, takich jak np. komputer, Internet, telefon komórkowy. Wśród tych transakcji możemy wyróżnić kilka rodzajów, takich jak:

W pierwszym przypadku (zakupy w sklepach internetowych) najczęściej stosowaną formą płatności są karty płatnicze. Podobnie jak w przypadku sklepu "fizycznego", sklep internetowy podpisuje odpowiednią umowę z centrum autoryzacji kart kredytowych, dzięki czemu może przyjmować płatności kartami. Od strony klienta procedura zawarcia transakcji wygląda w taki sposób, że po wybraniu z oferty sklepu towarów bądź usług, które chce się nabyć, należy w pola odpowiedniego formularza wyświetlonego na stronie WWW wpisać dane swojej karty kredytowej (numer, datę ważności i nazwisko figurujące na karcie). Z reguły strona z formularzem jest zabezpieczona kryptograficznie przy użyciu protokołu SSL, który zapewnia zaszyfrowanie danych przesyłanych między klientem i sklepem oraz potwierdzenie tożsamości sklepu, dzięki zastosowaniu tzw. certyfikatu serwera (w ten sposób jest niemożliwe podszycie się kogoś innego pod właściwy serwer i np. zbieranie w ten sposób numerów kart).

Wpisanie tych danych przez użytkownika uruchamia na serwerze WWW skrypt, który działa w sposób analogiczny do zwykłego terminala POS, łacząc się z centrum autoryzacyjnym i dokonując autoryzacji karty (w przeciwieństwie do transakcji z fizyczną obecnością karty, wszystkie transakcje internetowe są zawsze autoryzowane). Potwierdzenie autoryzacji powoduje wprowadzenie do systemu magazynowego polecenia wysyłki towaru, bądź - w przypadku sprzedaży informacji, np. książek elektronicznych (e-books), muzyki, oprogramowania - od razu udostępnia żądaną informację użytkownikowi do "ściągnięcia" przez Internet.

Podstawowe problemy związane z tym sposobem realizacji transakcji są następujące:

Rozwiązania dwu pierwszych problemów upatruje się od 1996 r. w protokole SET (Secure Electronic Transactions), który jednak wciąż znajduje się w stadium pilotażowym i nadal nie jest ogólnie dostępny. W systemie SET każdemu posiadaczowi karty płatniczej wraz z kartą wystawiany byłby specjalny cyfrowy certyfikat, służący do potwierdzania jego tożsamości w transakcjach elektronicznych. Certyfikat taki mógłby być zapisywany na dyskietce, bądź - jeżeli używane obecnie karty płatnicze z paskiem magnetycznym zostałyby w szerszym zakresie zastąpione kartami mikroprocesorowymi (tzw. chipowymi) - mógłby być zapisywany nawet bezpośrednio w samej karcie. To ostatnie rozwiązanie wymagałoby powszechnego wyposażenia komputerów w odpowiednie czytniki (czytniki takie są już montowane np. w przystawkach internetowych, służących do korzystania z Internetu przy użyciu telewizora), ale dawałoby prawie stuprocentową gwarancję niemożliwości podszycia się pod właściciela karty osoby obcej. Swój certyfikat miałby również sprzedawca. Podczas transakcji dane karty nie byłyby rozszyfrowywane u sprzedawcy, lecz opatrzone oboma certyfikatami wędrowałyby do specjalnego serwera stanowiącego "bramkę" do systemu autoryzacji kart kredytowych, i dopiero tam byłyby rozszyfrowywane. Jednak system ten - jak już stwierdzono - nie jest jeszcze powszechnie dostępny. Jednym z powodów opóźnień we wprowadzaniu SET są przypuszczalnie trudności w zbudowaniu odpowiedniej infrastruktury certyfikacyjnej, która mogłaby realizować na masową skalę wystawianie i weryfikację certyfikatów. W obecnym stadium SET nie można być tylko "częściowym uczestnikiem" - tzn. być tylko wydawcą kart (wraz z certyfikatami) bądź tylko acquirerem, czyli centrum rozliczającym transakcje od sprzedawców.

Rozwiązanie problemu mikropłatności mogłaby stanowić tzw. elektroniczna gotówka, która jednak rozpowszechnia się bardzo powoli i z trudnościami, mimo że technologia ta opracowana została już w 1994 roku. Więcej informacji na temat elektronicznej gotówki znajdzie się w kolejnym wykładzie. Rozważa się również możliwość realizacji mikropłatności przy użyciu telefonów komórkowych (o tym również więcej w wykładzie dotyczącym elektronicznej gotówki). W takim systemie operatorzy telefonii komórkowej spełnialiby podobną rolę jak obecnie centra autoryzacji kart kredytowych - od nich sprzedawcy otrzymywaliby pieniądze za zrealizowane zakupy, a należność byłaby doliczana do rachunku telefonicznego klienta.

Już teraz niektóre firmy oferujące płatne usługi w Internecie (niestety, najczęściej dotyczy to serwisów pornograficznych) oferują nieco podobny sposób płatności przy użyciu numerów telefonicznych "premium rate" czyli typu 0-700. Aby uzyskać hasło dostępu do serwisu, trzeba zadzwonić na tego typu numer i wysłuchać dostępnej tam informacji - opłata za połączenie jest równocześnie (po odliczeniu rzecz jasna zysku firmy oferującej linię typu 0-700) opłatą za skorzystanie z serwisu. Ta metoda nie umożliwia jednak "personalizacji", czyli powiązania płatności z konkretnym użytkownikiem i pobierania od każdego innej kwoty (ponadto - jeżeli mamy tylko jedną linię telefoniczną - może wymagać przerwania połączenia z Internetem aby połączyć się z numerem 0-700); w przypadku proponowanego rozwiązania wykorzystującego telefonię komórkową jest to możliwe.

Problem braku autoryzacji on-line w Polsce wydaje się być dla naszych sklepów internetowych problemem aktualnie i wciąż najpoważniejszym. Tutaj niestety bez zmiany podejścia ze strony centrów autoryzacyjnych nie da się nic poradzić. * Aktualnie polskie sklepy internetowe albo usiłują sobie jakoś radzić z "kulawą" autoryzacją off-line oferowaną przez Polcard, albo korzystają z usług zagranicznych firm pośredniczących, takich jak np. iBill czy CCBill, które oferują obsługę płatności na zagranicznych serwerach w trybie on-line. Firmy te jednak pobierają dość znaczną prowizję od obsługiwanych transakcji - zwykle w granicach 20%, a ponadto pobrane przez taką firmę pieniądze przekazywane są krajowemu sprzedawcy zwykle w postaci czeku, którego realizacja w banku wiąże się z kolejnymi prowizjami i długim czasem oczekiwania.

W przeciwieństwie do elektronicznego handlu, rozwój elektronicznych usług bankowych nie napotyka na tak wiele trudności. Kontakt klienta z bankiem ma bowiem zupełnie inny charakter niż kontakt kupującego ze sprzedawcą w sieciowym sklepie, który jest w dużym stopniu przypadkowy i doraźny. W przypadku usług bankowych obie strony są zazwyczaj już znane sobie nawzajem i związane długotrwałą umową. Możliwe jest zatem stworzenie indywidualnych dla każdego banku procedur i mechanizmów, które nie muszą stosować się do jednolitego standardu, tak jak w przypadku internetowych zakupów.

Elektroniczne usługi bankowe występują zazwyczaj w dwu postaciach: home-banking i internet-banking. Różnią się one tym, że w przypadku home-bankingu połączenie komputera klienta z bankiem następuje bezpośrednio modemem na numer telefoniczny banku, za pomocą dedykowanego oprogramowania, które klient otrzymuje od banku po zawarciu umowy; natomiast w przypadku internet-bankingu połączenie następuje przez Internet z wykorzystaniem zwykłej przeglądarki WWW. Niektóre publikacje zaliczają do grupy usług bankowości elektronicznej także tzw. phone-banking, czyli dokonywanie operacji bankowych przez telefon, tak jak to się dzieje np. w bankach takich jak Handlobank czy Millenium, ja jednak nie zajmuję się tutaj tą formą usług bankowych, gdyż uważam że nie jest to bankowość elektroniczna sensu stricte. Za formę usług bankowych można uznać także elektroniczne usługi maklerskie - możliwość zdalnego zarządzania swoim rachunkiem inwestycyjnym i składania zleceń na giełdzie - do których odnoszą się analogiczne uwagi, jak do "właściwych" usług bankowych.

Najważniejszym i właściwie jedynym istotnym problemem, jaki trzeba rozwiązać przy elektronicznych transakcjach bankowych, jest bezpieczeństwo. Szyfrowanie połączenia między klientem a bankiem jest rzeczą oczywistą, ale to nie wystarczy; niezbędne jest wiarygodne potwierdzenie tożsamości użytkownika. Ponieważ ryzyko w przypadku dostania się osoby niepowołanej do czyjegoś konta bankowego jest bardzo duże, uważa się, że w zastosowaniach bankowych standardowa metoda uwierzytelniania użytkownika typu identyfikator + hasło jest niewystarczająca. Stosowane są jeszcze dodatkowe zabezpieczenia. W przypadku home-bankingu takim zabezpieczeniem - oprócz faktu, że program obsługujący home-banking dzwoni na zwykle nieznany publicznie specjalny numer dostępowy banku - jest prywatny klucz szyfrujący (certyfikat), który otrzymuje każdy użytkownik wraz ze swoją kopią programu. Ta sama metoda może być też zastosowana w przypadku internet-bankingu - protokół SSL pozwala na zastosowanie tzw. certyfikatów prywatnych. Taki certyfikat, wygenerowany przez bank, użytkownik otrzymuje na dyskietce przy podpisywaniu umowy i instaluje go w swojej przeglądarce WWW. Certyfikat może być też umieszczony w karcie mikroprocesorowej, odczytywanej przez specjalny czytnik w komputerze, co zapewnia jeszcze wyższy poziom bezpieczeństwa (wymaga jednak wyposażenia komputera w odpowiedni czytnik). Inna metoda opiera się na zastosowaniu tzw. tokenów. Użytkownik otrzymuje od banku specjalny przyrząd - token - na którego klawiaturze należy wpisać kod pojawiający się na stronie WWW, na której logujemy się do systemu bankowego. Odpowiedź wyświetloną na wyświetlaczu tokena należy wpisać w odpowiednie pole formularza. Metoda ta jest bardzo uniwersalna, gdyż nie wymaga żadnych modyfikacji sprzętowych komputera, jest niezależna od wykorzystywanego oprogramowania i systemu operacyjnego, a daje również bardzo wysoki poziom bezpieczeństwa.

Elektroniczna bankowość w Polsce rozwija się ostatnio bardzo dynamicznie, a na świecie stanowi już standard. Jeszcze rok temu w Polsce był zaledwie jeden bank dostępny on-line - Pekao S.A. Kilka banków oferowało home-banking, ale bardzo drogi i wyłącznie dla klientów instytucjonalnych. Obecnie poza Pekao S.A. internet-banking oferują jeszcze trzy banki (BPH, PPABank i Lukas Bank), a jeden - Bank Śląski - udostępnia tani home-banking dla klientów indywidualnych. Kolejne dwa banki - WBK i PKO BP - oferują bierny dostęp do konta przez Internet, tzn. możliwość sprawdzania salda i historii operacji, w tym WBK oferuje tę usługę także za pośrednictwem wiadomości tekstowych SMS na telefony komórkowe. Funkcjonują także internetowe biura maklerskie, m.in. w Banku Ochrony Środowiska (najstarsze - od 1996 r.), BPH i PKO BP (w tym ostatnim zrealizowano zabezpieczenia z wykorzystaniem czytników kart mikroprocesorowych).

Warto zauważyć, że pojawiają się próby łączenia elektronicznych usług bankowych z sieciowymi zakupami - przykładem może być uruchomiony przez firmę Optimus S.A. sklep eMarket, w którym można płacić bezpośrednio przelewem z konta w systemie bankowości internetowej banku BPH. Pozwala to uniknąć problemów z kartami kredytowymi i ich autoryzacją, wymaga jednak od klienta posiadania konta w określonym banku.

Nowym rodzajem transakcji internetowych, jaki pojawił się ostatnio, głównie w związku z rozwojem internetowych serwisów aukcyjnych, takich jak eBay, są usługi płatności person-to-person, czyli pomiędzy osobami prywatnymi. W tym przypadku nie można posłużyć się kartami płatniczymi ze względów oczywistych. Można wprawdzie pieniądze przesłać w sposób "klasyczny" np. pocztą, ale zajmuje to dużo czasu. Systemy płatności person-to-person, z których najbardziej znanym jest PayPal, realizują "elektroniczne przekazy pieniężne" przez Internet. System tego typu jest parabankiem: osoba chcąca wysłać pieniądze musi założyć sobie rachunek w systemie i zasilić go pieniędzmi bądź w drodze przelewu ze swojego konta bankowego, bądź przy użyciu karty płatniczej. Następnie może wydac dyspozycje przelania pieniędzy na rzecz dowolnej osoby, podając jedynie jej adres e-mail. Jeżeli odbiorca ma już rachunek w systemie, następuje natychmiastowe przeksięgowanie pieniędzy na jego rachunek; jeżeli natomiast nie, pieniądze przelewane są na specjalny "tymczasowy" rachunek, a odbiorca przekazu otrzymuje list elektroniczny, informujący go o przekazie pieniężnym i proponujący założenie rachunku w systemie, aby odebrać pieniądze. Otrzymane pieniądze można przelać elektronicznie na swoje konto bankowe, zażądać przysłania ich w postaci czeku (to oczywiście trwa dość długo) bądź od razu wykorzystać je w celu zapłacenia innemu użytkownikowi systemu (częsty przypadek w zastosowaniach aukcyjnych). Systemy te na razie dostępne są jedynie w USA, jednakże ich rozpowszechnieniu się w innych krajach nie stoją na przeszkodzie żadne bariery techniczne, a jedynie prawno-organizacyjne.


* Na tej samej konferencji przedstawiciel Polcardu zapowiedział w swoim referacie, że w maju br. Polcard uruchomi autoryzację transakcji internetowych on-line.


Jarosław Rafa 2000. Tekst udostępniony na licencji Creative Commons (uznanie autorstwa - użycie niekomercyjne - bez utworów zależnych). Kliknij tutaj, aby dowiedzieć się, co to oznacza i co możesz z tym tekstem zrobić. W razie jakichkolwiek wątpliwości licencyjnych bądź w celu uzyskania zgody na rozpowszechnianie wykraczające poza warunki licencji proszę o kontakt e-mailem: raj@ap.krakow.pl.

Wersja HTML opracowana 29.04.2000.


Powrót do wykazu artykułów o Internecie Statystyka