Przyszłość w kartach chipowych, wirtualnych oraz podpisach elektronicznych
Wpływy właścicieli różnego rodzaju sklepów działających on-line byłyby znacznie wyższe, gdyby nie fakt, że wciąż duża częśćużytkowników internetu obawia się o bezpieczeństwo zawieranych w internecie transakcji i w przełamaniu tych obaw nie pomaga nawet przedświąteczna gorączka zakupów. Strachem napawa przede wszystkim fakt, że udostępnione numery kart kredytowych mogą zostać wykorzystane przez niepowołane osoby. Opinie ekspertów są podzielone. Część argumentuje, że zabezpieczenia internetowe kart kredytowych są podobne, jak przy połączeniach telefonicznych stosowanych na stacjach benzynowych, w sklepach czy restauracjach. Inni wskazują na niedoskonałość systemu i zalecają jego unowocześnienie.
Standardowym rozwiązaniem gwarantującym bezpieczeństwo w sieci jest obecnie tzw. secure sockets layer (SSL), czyli specjalny protokół, który wymaga wpisu użytkownika, by chronić wiadomość przed przeczytaniem lub zmianą. Jego poważną słabością jest jednak fakt, że nie wymaga on specjalnej legalizacji zarówno ze strony operatora strony internetowej, jak i jej użytkownika. Legalizacja w internecie rozumiana jest jako sprawdzenie zarówno autentyczności danych użytkownika, jak i właściciela strony internetowej, by zbadać, czy nie jest ona fikcyjna. W tych okolicznościach bardzo łatwo można podać w sieci numer karty kredytowej kogoś innego lub też napotkać nie istniejącą stronę internetową, gdzie podając numer karty można przekazać go czekającym na to oszustom.Robert Schifreen, obecnie konsultant ds. bezpieczeństwa internetu, a wcześniej hacker, zaleca w takich okolicznościach użytkownikom sieci, aby korzystali z usług tylko renomowanych firm internetowych, mających ugruntowaną pozycję na rynku. Jednocześnie radzi, aby używać karty kredytowe z niewielkimi limitami, uniemożliwiającymi pozbycie się większej ilości gotówki. Podkreśla jednak, że wciąż większość internautów zwraca przede wszystkim uwagę na cenę oferowanego w sieci towaru, nie biorąc pod uwagę ryzyka operacji. Największym problemem ? jego zdaniem ? są oczywiście oszukańcze zakupy, gdy ktoś dokonuje ich podając numer karty kogoś innego. Proceder taki jest ? według Schifreena ? nadspodziewanie łatwy. Przy zakupach on-line wymagane zazwyczaj są tylko pierwsze cztery cyfry, spośród wszystkich szesnastu znakujących kartę kredytową. Z punktu widzenia rachunku prawdopodobieństwa oszust nie potrzebuje więc dużo czasu, by wpisać poprawny jej numer. Zdaniem Schifreena, na ogół wpisanie prawidłowych danych zajmuje średnio około 20 prób. Były hacker nie ukrywa, że zna strony internetowe, które wstrzymały zbieranie zamówień z jednego kraju, z którego każde złożone zamówienie było fałszywe.Paradoksalnie przed kilku laty w Stanach Zjednoczonych prawdopodobieństwo popełnienia oszustwa w sieci było mniejsze, ponieważ firmy internetowe weryfikowały podawany adres oraz dane klientów. Coraz większa popularność internetowych zakupów zmusiła je jednak do rezygnacji z tej, zajmującej dużo czasu, metody, ponieważ ograniczało to ilość sprzedanego towaru lub usług. George Wallner, dyrektor generalny firmy Hypercom, dostarczającej na rynek specjalne terminale do odczytywania danych z kart kredytowych, jest zdania, że internetowe transakcje przy wykorzystaniu kart kredytowych niedługo w ogóle znikną z rynku. ? Nikt nie chce tego powiedzieć publicznie, jednak ten sposób dokonywania transakcji od początku był źle pomyślany ? twierdzi G. Wallner.Rozwiązaniem problemów bezpieczeństwa internetowych zakupów miał być system secure electronic transaction (SET), który opracowano w MasterCard i Visa, przy pomocy takich potentatów branży informatycznej, jak IBM, Microsoft czy Netscape. System ten wymagał, żeby obie strony, czyli klienci oraz właściciele internetowych sklepów otrzymali specjalne ?cyfrowe? identyfikatory, potwierdzające ich tożsamość. Przedsięwzięcie to próbowano wdrożyć już przed dwoma laty, lecz operacja nie zak się sukcesem. ? Nie doceniliśmy szybkości, z jaką zdobyły popularność transakcje on-line ? mówi Jon Prideaux, wiceprezes Virtual Visa, dodając, że SET musiałby zostać zainstalowany na tysiącach stron internetowych, a także na dziesiątkach milionów komputerów osobistych na całym świecie. ? Ponadto SET nie mógł działać za pośrednictwem telefonu komórkowego, który staje się coraz powszechniej wykorzystywanym narzędziem w internecie ? dodaje J. Prideaux.Tymczasem właśnie według szacunków Visa około 1?2% transakcji, przy których używana jest karta kredytowa dostarczana przez tę firmę, jest zawieranych za pośrednictwem internetu. O bezpieczeństwie tych operacji świadczy jednak fakt, że 50% tzw. wątpliwych transakcji wiąże się właśnie z siecią komputerową. Te transakcje kosztują banki łącznie w skali globalnej około 500 mln USD rocznie, zaś kupców około 200 mln USD. Ofiarami są przede wszystkim instytucje finansowe oraz sklepy ze Stanów Zjednoczonych i Europy Zachodniej. Visa postanowiła od czerwca 2001 r. wprowadzić na rynku europejskim nowe zabezpieczenie, nazwane roboczo modelem trzytorowym. Będzie ono działać na podstawie trzech rodzajów relacji ? między sprzedawcą a jego bankiem, między klientem i bankiem, który dostarczył mu karty kredytowej, oraz między samymi bankami. Dopiero po zweryfikowaniu legalności transakcji w ramach tych trzech relacji będzie można ją zrealizować. Co ciekawe, w kontaktach między bankami ma zostać wykorzystany właśnie system SET. Weryfikacja transakcji będzie odbywać się praktycznie w czasie rzeczywistym, a klient, by potwierdzić swą wiarygodność, będzie musiał podać specjalne hasło lub też wstukać numer identyfikacyjny swojej karty (PIN). Gdy proces weryfikacji zostanie zakończony, banki będą gwarantować internetowemu sprzedawcy wiarygodność klienta i w razie jakichś komplikacji poniosą koszty nieudanej transakcji.Według George'a Wallnera, przyszłość internetowych transakcji leży jednak przede wszystkim w tzw. smartcards, czyli kartach chipowych. Jest to karta z wbudowanym mikroprocesorem, zawierającym informacje na temat aktualnego stanu konta. W Stanach Zjednoczonych dużą popularnością cieszy się rozwiązanie zaproponowane przez American Express. Wprowadził on kartę chipową o nazwie Blue. Każdy jej posiadacz otrzymał też specjalny czytnik podłączony do komputera, dzięki któremu może on zawierać w prawie stuprocentowo bezpieczny sposób transakcje on-line.Na uwagę zasługuje również system Mobile Electronic Transaction (MET), który ma powstać z inicjatywy największych na świecie producentów telefonów komórkowych ? Nokii, Ericssona i Motoroli, aby zapewnić bezpieczeństwo internetowych zakupów posiadaczom ?komórek?. Według Jacoba Goldmana, dyrektora ds. rozwoju technologicznego w Ericssonie, system ten będzie działał na zasadzie tzw. elektronicznego podpisu. Istnieją trzy możliwości stworzenia tego podpisu. Jednym z nich może być numer, będący niejako drugim numerem SIM w tele-fonie komórkowym, jednak dostarczonym przez bank obsługujący użytkownika telefonu. Innym rozwiązaniem może być zainstalowanie w komórce czytnika karty chipowej, w jeszcze innej wersji elektroniczny podpis miałby być przyporządkowany każdemu telefonowi wypuszczonemu na rynek.Według Davida Bircha, dyrektora firmy Consult Hyperion, zajmującej się usługami doradczymi z zakresu płatności elektronicznych, wprowadzanie przez banki nowych rozwiązań w płatnościach elektronicznych jest obecnie kluczowym czynnikiem. Opieszałość w tym względzie powoduje bowiem zahamowanie rozwoju całej internetowej gospodarki.Na polskim rynku standardem w zakupach internetowych jest wykorzystywanie kart płatniczych tzw. wypukłych, w przypadku których klient podaje na stronie numer tej karty. Zakupów raczej nie można dokonać za pomocą tzw. kart lokalnych, wydawanych przez miejscowe banki, ponieważ zwykle strony internetowe korzystają z usług rozliczeniowych centrów znajdujących się za granicą. Zdaniem Sebastiana Łuczaka, rzecznika Pekao SA w perspektywie kilku lat możemy liczyć na rewolucyjne zmiany na tym rynku.Pierwszym z nowych rozwiązań może być rozpowszechnienie wspomnianej już karty chipowej (smartcard). Proces ten będzie jednak wymagał dostarczenia zarówno klientom banku, jak i sklepom internetowym specjalnych czytników. ? Niewykluczone że banki będą wyposażać klientów w taki czytnik wraz z przekazaniem karty chipowej, ponieważ w perspektywie przyszłych zysków będzie to dla nich korzystna operacja ? uważa S. Łuczak. Wskazuje on jeszcze na dwie nowoczesne metody, mogące zrewolucjonizować polski rynek płatności elektronicznych. Pierwszą z nich jest udostępnienie przez banki tzw. karty wirtualnej. Klient chcący dokonać transakcji w sieci, łącząc się ze stroną banku, zażyczy sobie od niego karty, która nie będzie fizycznie istniała, jednak pojawi się w systemie bankowym i będzie miała określony limit środków. Rozwiązanie to będzie jednorazowe. Po przesłaniu danych na wybraną stronę internetową karta przestanie istnieć. Nie narazi to klienta na niebezpieczeństwo ponownego użycia przekazanych przez niego danych przez osoby niepowołane. ? Istnieją dwie możliwości. W jednym przypadku bank przyznaje klientowi kwotę dokładnie taką, jakiej potrzebuje do dokonania zaplanowanego zakupu, w drugim dostarcza kartę o określonym niewielkim limicie, np. ważną przez miesiąc, co zmniejsza ryzyko straty ? tłumaczy S. Łuczak.Drugi sposób robienia zakupów w sieci, który być może zostanie upowszechniony już za kilka lat, to operacje przy wykorzystaniu tzw. podpisu elektronicznego. Jeżeli klient będzie posiadał taki podpis elektroniczny, wówczas złoży niejako zamówienie w sklepie internetowym, sygnując je tym podpisem, zaś właściciel sklepu będzie mógł na tej podstawie otrzymać z rachunku bankowego pieniądze klienta. ? Aby rozwiązanie takie mogło być zastosowane w praktyce, potrzebna jest zmiana regulacji prawnych w Polsce. Władze muszą wyrazić zgodę na używanie podpisu elektronicznego ? mówi rzecznik Pekao SA. ? Pojawiają się też bariery technologiczne. Podpis taki musi być weryfikowany przez tzw. instytucję osoby trzeciej, którą będą dopiero powstające wyspecjalizowane firmy wydające podpis elektroniczny i poświadczające jego prawdziwość ? dodaje.
ŁUKASZ KORYCKIW artykule wykorzystano materiały z ?Financial Times?
