Navikli smo od banaka da paze na sigurnost i nameću raznorazne procese koji nisu najpraktičniji, no ovaj puta nam briga za korisnika dolazi iz birokratskih radionica Europske Unije. Neću reći da je povećana sigurnost loša, no treba ponekad gledati i na praktičnu stranu priče.

Beskontaktno plaćanje je nešto najbolje što se dogodilo kartičnom poslovanju u zadnje vrijeme i vrlo je brzo prihvaćeno širom svijeta od strane većine korisnika. Činjenica da se ne mora upisivati PIN za transakcije do 100 kuna (ili nešto više izvan Hrvatske) je donijela nevjerojatnu praktičnost i brzinu u obavljanju transakcija na prodajnom mjestu. Meni uopće nije jasno kako se ikome da nosati gotovinu, brojati papire i prebirati po novčićima, a još su mi manje jasni trgovci i (posebno) ugostitelji koji ne vide uštedu vremena i posla koja nastaje primanjem kartica. No to je neka druga priča…

Ono o čemu danas pričamo je činjenica da će od prošlog vikenda vaše beskontakne transakcije banka zbrajati. Kad dođete do beskontaktno potrošenih 150€, onda će vam odbiti transakciju i tražiti da gurnete karticu u čitač i upišete PIN. Drugim riječima, leženost beskontaktnog plaćanja odjednom postaje lutrija, jer nikad ne znaš kad će ti taj limit doletjeti i kad će praktično plaćanje postati “o ne, opet dodatna autorizacija”. Kao real life ekvivalent iritantnog 3D securea pri online plaćanju.

Da ne znam bolje, rekao bih da EU ide na ruku modernim online bankama koji se u takvim pričama snalaze bolje nego klasične. Revolut je primjerice najavio da neće čekati da vam se dogodi “ups”, već da će se limit moći resetirati u aplikaciji. Štoviše, doći će notifikacija koja će vas upozoriti kad se približite limitu pa barem neće biti gnjavaže na samom prodajnom mjestu. Vidjet ćemo kako će klasične banke to rješavati (jer se odnosi i na njih, na području cijele EEA)… vjerojatno neće nikako, nego ćete čekati da vas zaskoči.

Kako će to u praksi izgledati – ostaje za vidjeti. Hoće li se transakcija odbiti kao da nemate para na računu ili će pisati “molim ubacite karticu”? Hoće li se zbrajanje resetirati kad beskontaktno platite iznos preko 100 kn s PIN-om? Zbrajaju li se beskontaktne transakcije preko 100 kn ili samo ove manje? Hoće li se limit restirati sam od sebe recimo jednom mjesečno? Hoće li limit u Hrvatskoj biti baš taj (moguće da se zaokruži na 1000 kn)?

Nije mi baš jasno kako bi nas limit od 150€ mogao spasiti od recimo krađe kartice i činjenice da netko u kratkom roku može naštancati puno malih (do 100 kn) transakcija bez da zna naš PIN. Puno efikasnije mjere bi bile mobilna notifikacija za svaku transakciju (koju online banke već imaju), mogućnost brzog zamrzavanja kartice kroz aplikaciju (pogodite tko to već ima) ili jednostavno detekcija velikog broja malih transakcija u kratkom vremenu.

U pozadini cijele priče stoji nešto nazvano SCA – Strong Customer Authentication. Ideja je da autentikacija korisnika mora imati dva od tri elementa provjere: nešto što korisnik zna (PIN), nešto što korisnik ima (karticu) i nešto što korisnik jest (otisak prsta ili lica). U beskontaktnom plaćanju postoji samo jedan element (“nešto što korisnik ima”) pa je eto logično da se uvede još nešto. Samo je jako nepraktično, a praktičnost je sama bit beskontaktnog plaćanja.

Za one koji plaćaju beskontaktno mobitelom koristeći GooglePay ili ApplePay imamo dobre vijesti. Na vas se ovaj limit ne odnosi. Mobiteli, naime, zadovoljavaju dva kriterija iz SCA (“nešto što korisnik ima” aka mobitel i “nešto što korisnik jest” aka otisak prsta ili lica). Iz te perspektive, ovo bi moglo popularizirati plaćanje mobitelom, što je odlično!

Enivej, javite kako je prošlo kad potrošite 150€.

[piše: Domagoj Pavlešić za BUG.hr]