Trendy i ograniczenia rozwoju transakcji elektronicznych

Poprzez określenie "transakcje elektroniczne" ogólnie rzecz biorąc rozumiemy wszelkie operacje finansowe dokonywane na odległość za pośrednictwem środków elektronicznych, takich jak np. komputer, Internet, telefon komórkowy. Wśród tych transakcji możemy wyróżnić kilka rodzajów, takich jak:

• transakcje kupna-sprzedaży w sklepach internetowych (pod pojęciem "sklep internetowy" rozumiem tu nie tylko sklepy sprzedające dobra materialne, ale także wszelkiego rodzaju płatne serwisy informacyjne itp.)
• elektroniczne usługi bankowe (home-banking, internet-banking) oraz maklerskie (inwestowanie na giełdzie)
• transakcje między osobami prywatnymi (person-to-person payments) - elektroniczne "przekazy pieniężne", stosowane np. w aukcjach internetowych

W pierwszym przypadku (zakupy w sklepach internetowych) najczęściej stosowaną formą płatności są karty płatnicze. Podobnie jak w przypadku sklepu "fizycznego", sklep internetowy podpisuje odpowiednią umowę z centrum autoryzacji kart kredytowych, dzięki czemu może przyjmować płatności kartami. Od strony klienta procedura zawarcia transakcji wygląda w taki sposób, że po wybraniu z oferty sklepu towarów bądź usług, które chce się nabyć, należy w pola odpowiedniego formularza wyświetlonego na stronie WWW wpisać dane swojej karty kredytowej (numer, datę ważności i nazwisko figurujące na karcie). Z reguły strona z formularzem jest zabezpieczona kryptograficznie przy użyciu protokołu SSL, który zapewnia zaszyfrowanie danych przesyłanych między klientem i sklepem oraz potwierdzenie tożsamości sklepu, dzięki zastosowaniu tzw. certyfikatu serwera (w ten sposób jest niemożliwe podszycie się kogoś innego pod właściwy serwer i np. zbieranie w ten sposób numerów kart).

Wpisanie tych danych przez użytkownika uruchamia na serwerze WWW skrypt, który działa w sposób analogiczny do zwykłego terminala POS, łacząc się z centrum autoryzacyjnym i dokonując autoryzacji karty (w przeciwieństwie do transakcji z fizyczną obecnością karty, wszystkie transakcje internetowe są zawsze autoryzowane). Potwierdzenie autoryzacji powoduje wprowadzenie do systemu magazynowego polecenia wysyłki towaru, bądź - w przypadku sprzedaży informacji, np. książek elektronicznych (e-books), muzyki, oprogramowania - od razu udostępnia żądaną informację użytkownikowi do "ściągnięcia" przez Internet.

Podstawowe problemy związane z tym sposobem realizacji transakcji są następujące:

• brak potwierdzenia tożsamości klienta. Wystarczy, aby ktokolwiek znał dane z karty kredytowej, aby mógł dokonać zakupów na rachunek jej posiadacza. Prawowity właściciel karty oczywiście może kwestionować takie transakcje w drodze procedury reklamacyjnej, i na ogół reklamacje takie są uwzględniane przez banki-wystawców kart, ale wówczas oznacza to stratę sprzedawcy, który nie otrzyma pieniędzy. Oszustwa tego typu są szczególnie częste w przypadku sprzedaży informacji, gdyż w przypadku sprzedaży dóbr materialnych sklepy internetowe często bronią się przed nadużyciami wprowadzając zasadę, iż adres, na który ma być wysłany towar, musi być identyczny z adresem zamieszkania posiadacza karty, figurującym w umowie z bankiem (weryfikuje się to podczas autoryzaji karty - jak na razie ta funkcja jest powszechnie obsługiwana jedynie przez centra autoryzacyjne w USA).
• problem bezpieczeństwa danych w sklepie internetowym. Aby uniknąć wielokrotnego podawania przez klienta numeru karty kredytowej, wiele sklepów internetowych prosi klienta najpierw o zarejestrowanie się w systemie. Numer karty klienta zostaje wówczas zapamiętany na serwerze sklepu i skojarzony z wybranym przez użytkownika identyfikatorem oraz hasłem. Kiedy użytkownik następnym razem odwiedzi ten sklep, nie będzie musiał już ponownie podawać swoich danych. O ile jednak dane przesyłane pomiędzy klientem i sklepem są z reguły zaszyfrowane, o tyle klient nie wie, co dzieje się z jego danymi, gdy już trafią one na serwer sklepu, i jak są tam zabezpieczone. Jak wskazuje niedawna (z grudnia 1999) afera z hackerem "Maxusem", który wykradł 300 tysięcy numerów kart kredytowych z baz danych kilku największych sklepów internetowych, dane te często przechowywane są w systemach zabezpieczonych bardzo słabo lub w ogóle. Włamanie się do takiego systemu i przechwycenie numerów kart daje możliwość dokonania wielu oszustw na szkodę klientów danego sklepu.
• w przypadku Polski do wyżej wspomnianych problemów dochodzi fakt, iż brak jest w Polsce centrum autoryzacyjnego oferującego możliwość autoryzacji transakcji ze sklepów internetowych on-line, czyli w czasie rzeczywistym. Problem ten podnoszony jest przez środowiska zainteresowane w Polsce handlem elektronicznym od kilku lat i jak dotąd nic się w tej sprawie nie zmienia. Jedyne centrum autoryzacyjne obsługujące w ogóle transakcje internetowe - Polcard - oferuje jedynie możliwość autoryzacji off-line (wsadowo), przy której wyniki autoryzacji znane są najwcześniej rano na drugi dzień po zgłoszeniu transakcji. *
• wreszcie ostatnim problemem związanym z kartami kredytowymi jest fakt, że ich obsługa jest kosztowna, a zatem nadają się one tylko do płatności na stosunkowo znaczne sumy. Powoduje to pewne problemy w wykorzystaniu kart kredytowych do opłacania usług informacyjnych oferowanych w Internecie, takich jak np.: możliwość tańszego wykonywania rozmów telefonicznych czy wysyłania faksów poprzez Internet (Net2Phone i podobne usługi), archiwa gazet, encyklopedie, specjalistyczne bazy danych (np. prawnicze), usługi zdalnego tłumaczenia tekstów (tekst do przetłumaczenia wysyła się e-mailem i tą samą drogą otrzymuje się wykonane tłumaczenie) itp. Usługi tego typu funkcjonują dotychczas przeważnie na zasadzie abonamentowej: najpierw opłacamy subskrypcję danego serwisu na pewien okres (bądź - w przypadku np. usług typu Net2Phone - wpłacamy wstępnie pewną kwotę, odpowiadającą np. określonemu czasowi rozmowy), po czym uzyskujemy swój identyfikator i hasło, umożliwiające skorzystanie z systemu. Jest to rozwiązanie dobre dla osób stale korzystających z danej usługi, jednak zupełnie wyklucza możliwość użytku doraźnego. Przykładowo, Gazeta Wyborcza udostępnia w Internecie swoje odpłatne archiwum, którego subskrypcja kosztuje 199 zł/miesiąc. Wiadomo, że z usługi tej nie skorzysta żaden przeciętny czytelnik, który np. przypadkowo usłyszał o interesującym artykule zamieszczonym w numerze z ubiegłego tygodnia i chciałby go przeczytać, lecz jest ona adresowana do osób stale korzystających z tego archiwum jako źródła informacji. Pewna grupa potencjalnych klientów takiej usługi zostaje więc niejako na wstępie "odsiana". Dla tych klientów bardzo przydatna mogłaby być możliwość dokonywania tzw. mikropłatności, czyli płacenia za każdą pobraną porcję informacji (np. po złotówce za każdy numer gazety pobrany z archiwum) - jednak karty kredytowe do takich zastosowań są nieopłacalne.

Rozwiązania dwu pierwszych problemów upatruje się od 1996 r. w protokole SET (Secure Electronic Transactions), który jednak wciąż znajduje się w stadium pilotażowym i nadal nie jest ogólnie dostępny. W systemie SET każdemu posiadaczowi karty płatniczej wraz z kartą wystawiany byłby specjalny cyfrowy certyfikat, służący do potwierdzania jego tożsamości w transakcjach elektronicznych. Certyfikat taki mógłby być zapisywany na dyskietce, bądź - jeżeli używane obecnie karty płatnicze z paskiem magnetycznym zostałyby w szerszym zakresie zastąpione kartami mikroprocesorowymi (tzw. chipowymi) - mógłby być zapisywany nawet bezpośrednio w samej karcie. To ostatnie rozwiązanie wymagałoby powszechnego wyposażenia komputerów w odpowiednie czytniki (czytniki takie są już montowane np. w przystawkach internetowych, służących do korzystania z Internetu przy użyciu telewizora), ale dawałoby prawie stuprocentową gwarancję niemożliwości podszycia się pod właściciela karty osoby obcej. Swój certyfikat miałby również sprzedawca. Podczas transakcji dane karty nie byłyby rozszyfrowywane u sprzedawcy, lecz opatrzone oboma certyfikatami wędrowałyby do specjalnego serwera stanowiącego "bramkę" do systemu autoryzacji kart kredytowych, i dopiero tam byłyby rozszyfrowywane. Jednak system ten - jak już stwierdzono - nie jest jeszcze powszechnie dostępny. Jednym z powodów opóźnień we wprowadzaniu SET są przypuszczalnie trudności w zbudowaniu odpowiedniej infrastruktury certyfikacyjnej, która mogłaby realizować na masową skalę wystawianie i weryfikację certyfikatów. W obecnym stadium SET nie można być tylko "częściowym uczestnikiem" - tzn. być tylko wydawcą kart (wraz z certyfikatami) bądź tylko acquirerem, czyli centrum rozliczającym transakcje od sprzedawców.

Rozwiązanie problemu mikropłatności mogłaby stanowić tzw. elektroniczna gotówka, która jednak rozpowszechnia się bardzo powoli i z trudnościami, mimo że technologia ta opracowana została już w 1994 roku. Więcej informacji na temat elektronicznej gotówki znajdzie się w kolejnym wykładzie. Rozważa się również możliwość realizacji mikropłatności przy użyciu telefonów komórkowych (o tym również więcej w wykładzie dotyczącym elektronicznej gotówki). W takim systemie operatorzy telefonii komórkowej spełnialiby podobną rolę jak obecnie centra autoryzacji kart kredytowych - od nich sprzedawcy otrzymywaliby pieniądze za zrealizowane zakupy, a należność byłaby doliczana do rachunku telefonicznego klienta.

Już teraz niektóre firmy oferujące płatne usługi w Internecie (niestety, najczęściej dotyczy to serwisów pornograficznych) oferują nieco podobny sposób płatności przy użyciu numerów telefonicznych "premium rate" czyli typu 0-700. Aby uzyskać hasło dostępu do serwisu, trzeba zadzwonić na tego typu numer i wysłuchać dostępnej tam informacji - opłata za połączenie jest równocześnie (po odliczeniu rzecz jasna zysku firmy oferującej linię typu 0-700) opłatą za skorzystanie z serwisu. Ta metoda nie umożliwia jednak "personalizacji", czyli powiązania płatności z konkretnym użytkownikiem i pobierania od każdego innej kwoty (ponadto - jeżeli mamy tylko jedną linię telefoniczną - może wymagać przerwania połączenia z Internetem aby połączyć się z numerem 0-700); w przypadku proponowanego rozwiązania wykorzystującego telefonię komórkową jest to możliwe.

Problem braku autoryzacji on-line w Polsce wydaje się być dla naszych sklepów internetowych problemem aktualnie i wciąż najpoważniejszym. Tutaj niestety bez zmiany podejścia ze strony centrów autoryzacyjnych nie da się nic poradzić. * Aktualnie polskie sklepy internetowe albo usiłują sobie jakoś radzić z "kulawą" autoryzacją off-line oferowaną przez Polcard, albo korzystają z usług zagranicznych firm pośredniczących, takich jak np. iBill czy CCBill, które oferują obsługę płatności na zagranicznych serwerach w trybie on-line. Firmy te jednak pobierają dość znaczną prowizję od obsługiwanych transakcji - zwykle w granicach 20%, a ponadto pobrane przez taką firmę pieniądze przekazywane są krajowemu sprzedawcy zwykle w postaci czeku, którego realizacja w banku wiąże się z kolejnymi prowizjami i długim czasem oczekiwania.

W przeciwieństwie do elektronicznego handlu, rozwój elektronicznych usług bankowych nie napotyka na tak wiele trudności. Kontakt klienta z bankiem ma bowiem zupełnie inny charakter niż kontakt kupującego ze sprzedawcą w sieciowym sklepie, który jest w dużym stopniu przypadkowy i doraźny. W przypadku usług bankowych obie strony są zazwyczaj już znane sobie nawzajem i związane długotrwałą umową. Możliwe jest zatem stworzenie indywidualnych dla każdego banku procedur i mechanizmów, które nie muszą stosować się do jednolitego standardu, tak jak w przypadku internetowych zakupów.

Elektroniczne usługi bankowe występują zazwyczaj w dwu postaciach: home-banking i internet-banking. Różnią się one tym, że w przypadku home-bankingu połączenie komputera klienta z bankiem następuje bezpośrednio modemem na numer telefoniczny banku, za pomocą dedykowanego oprogramowania, które klient otrzymuje od banku po zawarciu umowy; natomiast w przypadku internet-bankingu połączenie następuje przez Internet z wykorzystaniem zwykłej przeglądarki WWW. Niektóre publikacje zaliczają do grupy usług bankowości elektronicznej także tzw. phone-banking, czyli dokonywanie operacji bankowych przez telefon, tak jak to się dzieje np. w bankach takich jak Handlobank czy Millenium, ja jednak nie zajmuję się tutaj tą formą usług bankowych, gdyż uważam że nie jest to bankowość elektroniczna sensu stricte. Za formę usług bankowych można uznać także elektroniczne usługi maklerskie - możliwość zdalnego zarządzania swoim rachunkiem inwestycyjnym i składania zleceń na giełdzie - do których odnoszą się analogiczne uwagi, jak do "właściwych" usług bankowych.

Najważniejszym i właściwie jedynym istotnym problemem, jaki trzeba rozwiązać przy elektronicznych transakcjach bankowych, jest bezpieczeństwo. Szyfrowanie połączenia między klientem a bankiem jest rzeczą oczywistą, ale to nie wystarczy; niezbędne jest wiarygodne potwierdzenie tożsamości użytkownika. Ponieważ ryzyko w przypadku dostania się osoby niepowołanej do czyjegoś konta bankowego jest bardzo duże, uważa się, że w zastosowaniach bankowych standardowa metoda uwierzytelniania użytkownika typu identyfikator + hasło jest niewystarczająca. Stosowane są jeszcze dodatkowe zabezpieczenia. W przypadku home-bankingu takim zabezpieczeniem - oprócz faktu, że program obsługujący home-banking dzwoni na zwykle nieznany publicznie specjalny numer dostępowy banku - jest prywatny klucz szyfrujący (certyfikat), który otrzymuje każdy użytkownik wraz ze swoją kopią programu. Ta sama metoda może być też zastosowana w przypadku internet-bankingu - protokół SSL pozwala na zastosowanie tzw. certyfikatów prywatnych. Taki certyfikat, wygenerowany przez bank, użytkownik otrzymuje na dyskietce przy podpisywaniu umowy i instaluje go w swojej przeglądarce WWW. Certyfikat może być też umieszczony w karcie mikroprocesorowej, odczytywanej przez specjalny czytnik w komputerze, co zapewnia jeszcze wyższy poziom bezpieczeństwa (wymaga jednak wyposażenia komputera w odpowiedni czytnik). Inna metoda opiera się na zastosowaniu tzw. tokenów. Użytkownik otrzymuje od banku specjalny przyrząd - token - na którego klawiaturze należy wpisać kod pojawiający się na stronie WWW, na której logujemy się do systemu bankowego. Odpowiedź wyświetloną na wyświetlaczu tokena należy wpisać w odpowiednie pole formularza. Metoda ta jest bardzo uniwersalna, gdyż nie wymaga żadnych modyfikacji sprzętowych komputera, jest niezależna od wykorzystywanego oprogramowania i systemu operacyjnego, a daje również bardzo wysoki poziom bezpieczeństwa.

Elektroniczna bankowość w Polsce rozwija się ostatnio bardzo dynamicznie, a na świecie stanowi już standard. Jeszcze rok temu w Polsce był zaledwie jeden bank dostępny on-line - Pekao S.A. Kilka banków oferowało home-banking, ale bardzo drogi i wyłącznie dla klientów instytucjonalnych. Obecnie poza Pekao S.A. internet-banking oferują jeszcze trzy banki (BPH, PPABank i Lukas Bank), a jeden - Bank Śląski - udostępnia tani home-banking dla klientów indywidualnych. Kolejne dwa banki - WBK i PKO BP - oferują bierny dostęp do konta przez Internet, tzn. możliwość sprawdzania salda i historii operacji, w tym WBK oferuje tę usługę także za pośrednictwem wiadomości tekstowych SMS na telefony komórkowe. Funkcjonują także internetowe biura maklerskie, m.in. w Banku Ochrony Środowiska (najstarsze - od 1996 r.), BPH i PKO BP (w tym ostatnim zrealizowano zabezpieczenia z wykorzystaniem czytników kart mikroprocesorowych).

Warto zauważyć, że pojawiają się próby łączenia elektronicznych usług bankowych z sieciowymi zakupami - przykładem może być uruchomiony przez firmę Optimus S.A. sklep eMarket, w którym można płacić bezpośrednio przelewem z konta w systemie bankowości internetowej banku BPH. Pozwala to uniknąć problemów z kartami kredytowymi i ich autoryzacją, wymaga jednak od klienta posiadania konta w określonym banku.

Nowym rodzajem transakcji internetowych, jaki pojawił się ostatnio, głównie w związku z rozwojem internetowych serwisów aukcyjnych, takich jak eBay, są usługi płatności person-to-person, czyli pomiędzy osobami prywatnymi. W tym przypadku nie można posłużyć się kartami płatniczymi ze względów oczywistych. Można wprawdzie pieniądze przesłać w sposób "klasyczny" np. pocztą, ale zajmuje to dużo czasu. Systemy płatności person-to-person, z których najbardziej znanym jest PayPal, realizują "elektroniczne przekazy pieniężne" przez Internet. System tego typu jest parabankiem: osoba chcąca wysłać pieniądze musi założyć sobie rachunek w systemie i zasilić go pieniędzmi bądź w drodze przelewu ze swojego konta bankowego, bądź przy użyciu karty płatniczej. Następnie może wydac dyspozycje przelania pieniędzy na rzecz dowolnej osoby, podając jedynie jej adres e-mail. Jeżeli odbiorca ma już rachunek w systemie, następuje natychmiastowe przeksięgowanie pieniędzy na jego rachunek; jeżeli natomiast nie, pieniądze przelewane są na specjalny "tymczasowy" rachunek, a odbiorca przekazu otrzymuje list elektroniczny, informujący go o przekazie pieniężnym i proponujący założenie rachunku w systemie, aby odebrać pieniądze. Otrzymane pieniądze można przelać elektronicznie na swoje konto bankowe, zażądać przysłania ich w postaci czeku (to oczywiście trwa dość długo) bądź od razu wykorzystać je w celu zapłacenia innemu użytkownikowi systemu (częsty przypadek w zastosowaniach aukcyjnych). Systemy te na razie dostępne są jedynie w USA, jednakże ich rozpowszechnieniu się w innych krajach nie stoją na przeszkodzie żadne bariery techniczne, a jedynie prawno-organizacyjne.

Powrót do wykazu artykułów o Internecie

Statystyka