Trudno sobie wyobrazić dzisiejsze życie bez zakupów online. Wygoda i dostępność sprawiają, że nabywamy w ten sposób nie tylko towary, ale i usługi. Przy tym coraz częściej zadajemy sobie fundamentalne pytanie: czy moje pieniądze są bezpieczne?
Kwestia cyberbezpieczeństwa kształtuje nasze decyzje konsumenckie. Potwierdzają to twarde dane z raportu „E-commerce w Polsce 2023” przygotowanego przez Gemius. Okazuje się, że aż 79% polskich internautów dokonuje zakupów online i ich największe obawy dotyczą właśnie bezpieczeństwa transakcji oraz ryzyka oszustwa.
Trendy globalne są podobne. Niedawny raport PwC „Global Economic Crime and Fraud Survey” wskazuje, że cyberprzestępczość znajduje się na podium, jeśli chodzi o najszybciej rosnące zagrożenia dla biznesu i konsumentów. Co w takiej sytuacji zrobić?
Z punktu widzenia konsumenta chyba najważniejszy jest wybór bezpiecznej metody płatności. Zerknijmy na kilka systemów płatniczych i na przykładzie kasyn online zobaczmy, dlaczego są one dziś tak chętnie wykorzystywane do rozliczeń.
BLIK
Stworzona przez Polski Standard Płatności platforma rozliczeniowa to fenomen wykraczający poza rodzime podwórko. Choć jego siła tkwi w prostocie, za nieskomplikowanym interfejsem stoją solidne zabezpieczenia.
Sama płatność jest banalnie prosta: w sklepie albo w kasynie internetowym wybierasz BLIK, otwierasz aplikację swojego banku, generujesz unikalny, sześciocyfrowy kod, wpisujesz go na stronie i na koniec zatwierdzasz transakcję w telefonie (np. PIN-em do aplikacji lub odciskiem palca). Listę kasyn BLIK znajdziesz na stronie Kasyna Orzeł, którego redakcja trzyma rękę na pulsie i śledzi najnowsze trendy w hazardzie.
Dlaczego BLIK jest bezpieczny?
- Kod BLIK jest ważny tylko przez dwie minuty. Nawet jeśli ktoś go przechwyci (co samo w sobie jest dość trudne), szansa na jego wykorzystanie jest znikoma. Po upływie tego czasu cyferki stają się bezużyteczne.
- Podczas płatności BLIKIEM nie udostępniasz sprzedającemu danych swojej karty i nie musisz się nigdzie logować. Odbiorca płatności nie ma dostępu do numeru karty, jej daty ważności czy kodu CVV/CVC.
- BLIK jest wzorcowym przykładem implementacji dyrektywy PSD2. Transakcja wymaga dwóch niezależnych czynników uwierzytelnienia: telefonu (dziś każdy ma go w kieszeni) oraz znajomości PIN-u do aplikacji bankowej lub użycia danych biometrycznych. Skutecznie uniemożliwia to podszycie się pod nas przez osobę niepowołaną, gdyby, dajmy na to, weszła ona w posiadanie naszej komórki.
Karty płatnicze (Visa/Mastercard) i potęga tokenizacji
O ile jeszcze dwie dekady temu odradzilibyśmy wam płatność kartą online w sklepie czy w kasynie, o tyle dziś plastikowe i wirtualne karty przeszły ogromną ewolucję w zakresie bezpieczeństwa. Wszystko za sprawą dwóch technologii.
- Tokenizacja stanowi jeden z filarów bezpieczeństwa. Gdy dodajesz kartę do zaufanego portfela (np. w sklepie internetowym, który oferuje zapisanie karty), jej numer nie jest przechowywany na serwerach sprzedawcy. Zamiast tego jej wydawca generuje unikalny, zaszyfrowany ciąg znaków. Token ten jest powiązany z kartą, ale sam w sobie będzie bezwartościowy dla hakera. Nawet w przypadku wycieku danych ze sklepu, przestępcy zdobywają jedynie bezużyteczny ciąg znaków.
- 3D Secure 2.0: Nowy standard autoryzacji transakcji stosują dziś dwaj najwięksi operatorzy w Polsce: Visa i Mastercard. W przeciwieństwie do swojej starszej wersji, 3D Secure 2.0 działa w tle. Serwery analizują w czasie rzeczywistym ponad 100 tzw. parametrów ryzyka (m.in. urządzenie, lokalizację, historię zakupów). Jeśli transakcja zostanie uznana za bezpieczną, jest zatwierdzana automatycznie, bez dodatkowych kroków. Tylko w przypadku wątpliwości zostaniesz poproszony o dodatkowe potwierdzenie w aplikacji bankowej lub kodem SMS. Dlatego przy pierwszej płatności w nowym kasynie będziesz musiał potwierdzić płatność kartą.
Portfele cyfrowe (Google Pay / Apple Pay)
Płacąc przez telefon lub przeglądarkę w komputerze, wielu z nas wybiera dziś Google Pay lub Apple Pay. Transakcję zatwierdzamy na swoim telefonie za pomocą odcisku palca, skanu twarzy (Face ID) lub kodu blokady urządzenia.
W obu usługach zastosowano również tokenizację, z tym że numer naszej karty nie będzie tym razem przechowywany na serwerach Google/Apple czy w telefonie. Zamiast tego do transakcji używa się unikalnego numeru konta urządzenia (Device Account Number). To on, a nie numer karty, użyty zostanie do generowania jednorazowych kodów bezpieczeństwa dla każdej transakcji.
W przypadku mobilnych portfeli biometria stanowi barierę niemal niemożliwą do sforsowania dla złodzieja. Jest to znacznie bezpieczniejsze niż poleganie wyłącznie na haśle (choć dotyczy to tylko transakcji na odległość). Właściciel sklepu czy kasyna nigdy nie ujrzy numeru naszej karty. Na jego serwer trafia jedynie dynamicznie wygenerowany token specyficzny dla danej transakcji.
E-portfele
PayPal to jeden z najstarszych i najbardziej rozpoznawalnych systemów płatności online. Paradoksalnie jednak to nie ta marka rządzi dziś w hazardzie. W specyficznych sektorach e-commerce, a iGaming z pewnością do nich należy, ogromną popularność zdobyły wyspecjalizowane e-portfele, takie jak Skrill, Neteller, eZeeWallet, Jeton czy MiFinity. Poszczególne marki różnią się od siebie niewiele. Wszystkie pełnią rolę cyfrowych pośredników.
Zwykle użytkownik zakłada konto w wybranym e-portfelu, a następnie zasila je środkami za pomocą karty płatniczej lub przelewu bankowego. Płacąc u akceptującego portfel sprzedawcy (np. w kasynie online), loguje się na swoje konto w e-portfelu i z jego salda realizuje płatność, bez ujawniania swoich pierwotnych danych finansowych.
Powodów, dla których te i inne systemy cieszą się zaufaniem, jest wiele.
- Sprzedawca nie uzyskuje dostępu do naszych danych płatniczych.
- Dla wielu użytkowników równie ważna jest dyskrecja – na wyciągu bankowym widoczna jest jedynie operacja zasilenia portfela, a nie transakcja z kasynem.
- Największe marki posiadają gwarancje brytyjskiej komisji FCA (Financial Conduct Authority). Taką licencję bardzo trudno zdobyć i jednocześnie bardzo łatwo stracić. Emisja kart wymaga także certyfikatu PCI DSS (Payment Card Industry Data Security Standard).
- Wymuszone silne uwierzytelnienie (2FA/SCA): Logowanie do konta oraz autoryzacja kluczowych transakcji niemal zawsze wymagają dwuetapowej weryfikacji (2FA). Najczęściej jest to kod wysyłany SMS-em lub generowany w dedykowanej aplikacji uwierzytelniającej (np. Google Authenticator). W przypadku wycieku hasła możemy spać spokojnie.
- Nowoczesne e-portfele inwestują w zaawansowane, oparte na sztucznej inteligencji, systemy monitorowania oszustw, które analizują wzorce zachowań i błyskawicznie reagują na wszelkie anomalie.
Podsumowanie
Wahasz się z kawką w dłoni, jaką metodę płatności wybrać do zakupów online? Postaw na tę, której operator nie poszedł na kompromisy w zakresie prywatności i bezpieczeństwa. BLIK, Google/Apple Pay i e-portfele należą do tej właśnie kategorii.
Pamiętaj jednak, że nawet najlepsza technologia nie ochroni cię przed skutkami własnej nieostrożności. Zanim sięgniesz do portfela, zweryfikuj wiarygodność sklepu, poczytaj o phishingu i regularnie monitoruj historię swoich transakcji. Dodatkowa wiedza o tym, jak działają przestępcy, stanowić będzie najlepszą inwestycją we własne cyfrowe bezpieczeństwo.
