Z Aleksandrem Naganowskim, dyrektorem ds. rozwoju nowego biznesu w polskim oddziale Mastercard Europe, rozmawiam o standardzie SRC i o tym, w jaki sposób to rozwiązanie zmieni sposób korzystania z kart płatniczych
Czym jest standard SRC i w jaki sposób może on wpłynąć na to, jak dziś płaci się kartami za zakupy w internecie?
Standard SRC to rozwiązanie, które ma na celu ujednolicenie doświadczeń klientów w korzystaniu z kart w środowisku e-commerce i m-commerce. W sklepach stacjonarnych jest jeden, zunifikowany sposób płacenia kartami, który przyczynił się do ich sukcesu. Terminale są różne, czytniki zbliżeniowe umieszczone czasem z góry, czasem z boku urządzenia, występują terminale stacjonarne i przenośne, ale płatność zawsze przebiega podobnie, tzn. najpierw trzeba przyłożyć kartę, później podać ewentualnie kod PIN, a następnie POS drukuje potwierdzenie transakcji. Każdy klient wie, czego spodziewać się po płatności i jest to zasługa standardu, jednolitego dla kart wszystkich najważniejszych organizacji płatniczych.
Podobnych standardów jak dotąd nie udało się natomiast wypracować w środowisku internetowym. Klient, który chce płacić w sieci kartą, może w rezultacie zetknąć się z różnymi procesami, w zależności od sklepu. Czasem klienci proszeni są o numer Pesel, czasem płatność odbywa się na dwóch ekranach a czasem na jednym, innym razem trzeba się w międzyczasie zalogować do serwisu bankowości elektronicznej itd. Doświadczenie klientów jest tu więc mocno nieprzewidywalne. Zniechęca to do płacenia kartami i prowadzi do mniejszej popularności tego instrumentu w e-commerce.
Czy już zatem wiadomo, jak będzie wyglądał proces płatniczy zgodnie ze standardem SRC?
Prace nad tym ciągle trwają, ale do tej pory sporo już ustalono. Twórcy SRC, czyli organizacja EMVCo., dążą do tego, aby po wprowadzeniu danych karty przy pierwszej płatności w internecie nie trzeba było robić tego ponownie. Być może nawet i to jednorazowe wprowadzanie danych nie będzie konieczne, bo będzie mógł to zrobić za użytkownika bank – wydawca karty. Zaproponowano koncepcję bezpiecznej chmury, w której dane te będą przechowywane. Takich baz będzie mogło być wiele i będą mogły być prowadzone np. przez organizacje płatnicze. Nie powinno być ich jednak zbyt dużo, aby rozwiązanie nie było zbyt skomplikowane. Przechowywane w bazach numery kart wywoływane będą po podaniu jakiegoś identyfikatora, np. numeru telefonu komórkowego. Należy też podkreślić, że standard SRC ma wykorzystywać tokenizację, zatem dane kart znajdujących się w bazach będą bezpiecznie zapisywane w postaci tokenów.
Czyli zamiast wprowadzać przy każdej płatności numer karty, jej datę ważności i jej kod zabezpieczający z rewersu klient będzie podawał na stronie sklepu jedynie numer swojej komórki?
Tak, taka jest koncepcja.
Rozumiem jednak, że sama płatność będzie podlegać jakiejś dodatkowej autoryzacji?
Oczywiście, taki obowiązek wynika z konieczności zachowania odpowiedniego poziomu bezpieczeństwa i wymuszają go przepisy dyrektywy PSD II czy wytyczne do niej zwane RTS-ami. Taka autoryzacja to jednak kolejny element procesu płatniczego. Przepisy unijne wymagają też tzw. silnego uwierzytelnienia, a więc autoryzacji płatności przy pomocy co najmniej dwóch różnych zabezpieczeń. Silne uwierzytelnienie będzie dotyczyć wszystkich płatności, które nie mieszczą się w wyjątkach. Na szczęście jest ich dużo i z naszych szacunków wynika, że duża część płatności nie będzie podlegała temu obowiązkowi.
A o jakich wyjątkach mowa? Których płatności nie trzeba będzie w ten specjalny sposób potwierdzać?
Silnemu uwierzytelnieniu nie będą podlegać transakcje na niskie kwoty, płatności powtarzalne oraz u sprzedawców, z którymi wcześniej klienci mieli już jakieś relacje, a więc płacili za zakupy w przeszłości. Silnemu uwierzytelnieniu podlegać będą transakcje na wysokie kwoty oraz np. w sklepach, w których w przeszłości użytkownik danej karty nigdy jeszcze nie płacił.
Czy wymóg tego silnego uwierzytelnienia wprowadzany przez unijne PSD II i RTS-y oznacza, że globalny standard płatniczy będzie musiał być dostosowany do europejskich wymogów?
Tak, ale nie stanowi to jakiejś większej trudności. Silne uwierzytelnienie dotyczy potwierdzenia, że osoba, która płaci, jest tą, która daną kartą może się posługiwać. Standard SRC w największym stopniu dotyczy wcześniejszego etapu procesu płatniczego, czyli wprowadzenia danych karty do bazy w chmurze i wydobycia go w razie potrzeby. Tego etapu ani dyrektywa PSD II ani powiązane z nią RTS-y w żaden sposób nie regulują.
Czy takie rozwiązania, jak płatności Apple Pay i Google Pay, będą musiały zostać przez ich dostawców dostosowane do standardów SRC?
Portfele Apple Pay i Google Pay oraz podobne nie są sprzeczne z SRC, a można nawet powiedzieć, że są równoległe do tego standardu. Jego twórcy wyszli z założenia, że dowolne rozwiązanie, które jest wygodne dla użytkownika karty jest dobre i nie ma sensu go zmieniać. Przy tym proszę pamiętać, że Apple Pay i Google Pay to przede wszystkim płatności w sklepach stacjonarnych.
Czy zatem SRC nie można by w uproszczeniu nazwać takim wielkim, globalnym portfelem cyfrowym?
Można, ale nasze doświadczenia podpowiadają nam, że nazywanie SRC portfelem powoduje, że klienci nie za bardzo wiedzą, o czym my mówimy. Im wystarczy, by wiedzieli, że podają dane karty płatniczej w jednym sklepie, a formatka płatnicza działa tak, że w żadnym kolejnym sklepie już tych danych nie będą musieli podawać, aby zapłacić kartą. Dzięki temu znika rozwiązanie typu portfel, bo pojawia się zupełnie nowe doświadczenie użytkownika. Już w tej chwili pracujemy z agentami rozliczeniowymi w Polsce nad tym, aby je przetestować w programie pilotażowym.
A jak wobec tego płatność przy wykorzystaniu standardu SRC będzie różnić się od spotykanych dziś płatności przy pomocy karty, której dane zostały przez sklep zapamiętane?
Z punktu widzenia klienta płatność będzie wyglądała bardzo podobnie, tylko dziś funkcja zapamiętania karty jest dostępna u największych sprzedawców, których na wdrożenie takiego rozwiązania stać. SRC dostarczy tę funkcję każdemu sklepowi. Nie zmieni to zasadniczo sytuacji największych sklepów, choć dostaną one możliwość wyboru: budować swoje rozwiązanie ze wszystkimi tego konsekwencjami, np. w zakresie dbałości o bezpieczeństwo danych, czy postawić na SRC.
Warto przy tym zaznaczyć, że dziś duże bazy pojedynczych sprzedawców są od siebie izolowane. To oznacza, że jeżeli klient poda dane swojej karty np. w sklepie X, to w sklepie Y nie może z nich skorzystać i musi wprowadzać je ponownie. Sklepy, które będą korzystać z SRC, będą mogły używać danych kart wprowadzonych przez klientów w innych sklepach. Może się więc okazać, że baza SRC szybko stanie się większa niż bazy pojedynczych, nawet bardzo dużych, serwisów. Z tego względu bardziej może więc opłacać się im korzystanie z SRC niż ze swojego własnego rozwiązania, aby również ułatwić swoim klientom zakupy.
A w jaki sposób będzie w najbliższej przyszłości wyglądać proces uwierzytelnienia płatności w e-commerce? W większym stopniu niż dziś będzie wykorzystana do tego biometria?
Nad tym bardzo mocno teraz pracujemy. PSD II i RTS-y zakładają, że potencjalnie częściej niż dziś klienci płacący w sieci będą musieli być uwierzytelniani. Trzeba więc zastanowić się, w jaki sposób ten proces przebiega. Dziś w niektórych przypadkach jest to narzędzie w zasadzie zapobiegające transakcjom, ponieważ trzeba podać numer z rewersu karty, potem kod 3D Secure, czasem logować się do bankowości elektronicznej, itd. Jest to nieraz tak kłopotliwe, że klienci po prostu rezygnują z zakupu.
Uważamy więc, że podstawowym narzędziem uwierzytelnienia transakcji powinna być biometria na urządzeniu mobilnym, głównie biometria odcisku palca i rozpoznawania twarzy. To rozwiązania, na które klienci reagują bardzo pozytywnie, bo są wygodne, szybkie i bezpieczne. Zakładam więc, że w przyszłości niezależnie od tego, gdzie będzie się płacić, aplikacja bankowa wywoła odpowiednie okno na smartfonie i tam przy pomocy biometrii transakcja zostanie potwierdzona przez klienta.
Dziękuję za rozmowę