Najpopularniejsze formy rozliczeń za transakcje dokonane w internecie, oprócz przesyłki za pobraniem, to płatności:

• kartą płatniczą,
• elektronicznym przelewem,
• inne elektroniczne płatności,
• za pomocą Premium SMS-a.

Nie każda ze wspomnianych wyżej form płatności umożliwia zapłatę za każdy towar. Za pomocą SMS-ów Premium można zapłacić za produkty lub usługi, których koszt nie przekracza kilkudziesięciu złotych. Co więcej, nie każdy sklep czy serwis aukcyjny obsługuje wszystkie dostępne na polskim rynku metody płatności. Należy także pamiętać, że z różnymi formami płatności wiążą się nie tylko różne ograniczenia czy prowizje, ale przede wszystkim zagrożenia, których strony transakcji powinny być świadome i wiedzieć, jak im zapobiegać, m.in. znając przebieg procesu zapłaty za pomocą danego instrumentu.

Poniżej przedstawiamy charakterystykę dwóch metod płatności: kartą płatniczą oraz wirtualną portmonetką. Płatności za pomocą e-przelewów oraz Premium SMS-ów zostały omówione wcześniej w osobnych artykułach: E-przelewy, czyli jak wygodnie i bezpiecznie płacić za zakupy w internecie oraz Premium SMS - jak uniknąć wyłudzenia

KARTY PŁATNICZE

Karty płatnicze to w praktyce stosunkowo wygodne narzędzie do regulowania płatności, które całkiem szybko przeniknęło ze świata tradycyjnych zakupów do zakupów dokonywanych przez internet. Jednak wielu Polaków wciąż z nieufnością podchodzi do transakcji wykonywanych kartą. Jak pokazuje przykład z biurem podróży Orbis, rozliczenia plastikiem mogą przynieść także nieoczekiwane korzyści. W ubiegłym roku Polskę zelektryzowała wieść o upadłości tego znanego biura podróży. Osoby, które zapłaciły na poczet przyszłych wycieczek za pomocą kart kredytowych lub debetowych, uchroniły się w ten sposób przed utratą pieniędzy, bowiem w przypadku upadłości biura podróży i odwołania imprezy można złożyć reklamację w banku i powołać się na nieotrzymanie opłaconej usługi (tzw. opcja chargeback). W ten sposób odzyskamy swoje pieniądze, co może nie być takie proste, jeśli zapłacimy gotówką.

Co istotne w przypadku kart, w ustawie o elektronicznych instrumentach płatniczych jest zapis, że posiadacza karty obciążają operacje dokonane z użyciem utraconej karty płatniczej do czasu zgłoszenia wydawcy jej utraty, do kwoty stanowiącej równowartość w złotych 150 euro. Ograniczenie to nie dotyczy operacji, do których doszło z winy posiadacza lub użytkownika, a w szczególności gdy nie dopełnił on obowiązków. Jeśli karta jest dodatkowo ubezpieczona, to jej właściciel nie odpowiada również za transakcje na mniejsze kwoty, wykonane przez złodzieja.

Podsumowując, wspomniane wyżej zabezpieczenia nie dotyczą sytuacji, gdy właściciel karty ujawni przestępcy PIN, czyli kod dostępowy. Może to się zdarzyć np. podczas wyjmowania gotówki z bankomatu – przestępca może podejrzeć wprowadzany PIN za pomocą odpowiednich urządzeń zamontowanych na bankomacie czy też po prostu zobaczyć wprowadzany kod przez ramię, także podczas płacenia kartą w sklepie. Warto zatem pamiętać, by za każdym razem uniemożliwić osobom postronnym podejrzenie PIN-u. Uważnie przyglądajmy się bankomatom, czy nie zainstalowano na nich jakichś podejrzanych urządzeń oraz przykrywajmy klawiaturę podczas wprowadzania kodu dostępu. 

Dobra wiadomość w przypadku zakupów dokonywanych kartą przez internet jest taka, że nie musimy podawać kodu PIN. Do zapłaty kartą w sieci wystarczą informacje, które są na niej nadrukowane (bez konieczności posiadania samego „plastiku”): imię i nazwisko posiadacza karty, data ważności i numer karty oraz trzycyfrowy kod znajdujący się na odwrocie karty znany jako CCV2/CVC2. Przestępcy mogą je poznać, bądź to kradnąc fizycznie kartę, bądź uzyskując dostęp do informacji na niej zawartych, np. poprzez ataki typu phishing, które wcześniej opisywaliśmy, a które nie wymagają kontaktu fizycznego przestępcy z ofiarą i jej kartą.

KARTY PRZEDPŁACONE

Interesującym rozwiązaniem,  które ma na celu zwiększenie bezpieczeństwa transakcji w internecie oraz lepszą kontrolę wydatków, dostępnym w niektórych polskich bankach są karty przedpłacone. Karty takie przypisane są do osobnych kont, na które użytkownik może w każdej chwili przelać ze swojego głównego konta tyle pieniędzy, ile akurat potrzebuje, by zapłacić za towar lub usługę. W przypadku przejęcia numeru i danych takiej karty przez przestępców jej właściciel ryzykuje jedynie kwotą, która została na nią przelana w celu dokonania transakcji, a nie pieniędzmi dostępnymi w ramach głównego konta bankowego czy limitu karty kredytowej. Do kart przepłaconych stosuje się również zapisy ustawy wcześniej przedstawione. Warto w związku z tym pamiętać, że na kontach przypisanych do tych kart nie powinno się trzymać wolnych środków.

Karty przedpłacone (pre-paid) oferowane są na razie przez kilka banków w Polsce. Dzięki temu, że zachowują cechy standardowych kart płatniczych, czyli są wydawana w formie plastikowej karty, można z nich korzystać praktycznie tak samo, jak z kart kredytowych czy debetowych, czyli do płatności przez internet lub telefon, a także do wypłaty gotówki w bankomatach oraz zapłaty w terminalach w tradycyjnych sklepach.

WIRTUALNE KARTY

Wirtualne karty płatnicze działają na podobnej zasadzie do kart przedpłaconych. By móc skorzystać z tych metod płatności, najpierw trzeba zasilić przyporządkowane im konta. To oczywiście nieco wydłuża proces zapłaty za produkt, jednak z drugiej strony zwiększa bezpieczeństwo środków zgromadzonych na naszym głównym koncie lub karcie kredytowej z wyższym, niż potrzebne w danej chwili, limitem.

Opisywane w tej części metody służą wyłącznie do płatności dokonywanych przez internet lub telefon. Ponieważ nie wyjmiemy za ich pomocą pieniędzy z bankomatu ani nie zapłacimy za zakupy w sklepie. Wirtualne karty nie muszą mieć fizycznej postaci.

W przypadku kart wirtualnych wystarczy, by użytkownik znał numer, datę ważności oraz kod CCV2/CVC2 takiej karty. Zapamiętanie tych danych może jednak sprawiać trudność wielu osobom, dlatego też część banków udostępnia wirtualne karty także w fizycznej postaci. Nie znajdziemy na nich jednak ani charakterystycznego dla tradycyjnych kart paska magnetycznego, ani chipu.

Wirtualne karty płatnicze mają przypisane limity wysokości pojedynczych transakcji, zależnie od banku, który je wydaje. Są to zwykle kwoty od kilku do kilkunastu tysięcy złotych. Jedną z ich wad jest jednak brak opcji „chargeback”, czyli zwrotu pieniędzy za niewyświadczoną usługę. Oznacza to, że w opisanym wyżej przypadku upadłości Orbisu klienci nie otrzymaliby z powrotem pieniędzy za wycieczkę, na którą nie pojechali z winy tego biura.

ELEKTRONICZNE PORTMONETKI (inne elektroniczne płatności)

By móc korzystać z elektronicznej portmonetki, najpierw należy założyć konto w wybranym serwisie. E-portmonetki działają na podobnych zasadach, jak karty przedpłacone oraz wirtualne - w razie potrzeby zapłaty za transakcję przelewamy na nie odpowiednią kwotę pieniędzy. Co więcej, w odróżnieniu od wirtualnych i przedpłaconych kart, do elektronicznych portmonetek możemy także „podpiąć” swoją kartę płatniczą. Dzięki temu swoimi danymi finansowymi dzielimy się tylko raz – z dostawcą portmonetki, natomiast nie musimy ich potem ujawniać w procesie transakcji z różnymi kontrahentami - wystarczy tylko wskazać odbiorcę pieniędzy i formę rozliczenia oraz zapewnić środki na koncie e-portmonetki lub karcie.

Jak już wspomniano wyżej, ich podstawową zaletą jest to, że umożliwiają płacenie bez konieczności ujawniania podczas transakcji danych osobowych i finansowych właściciela konta. Co więcej, elektroniczne portmonetki umożliwiają swoim użytkownikom błyskawiczne transfery pieniężne, także transgraniczne, za pomocą adresów e-mail, a także SMS-ów.

Jak wygląda proces płacenia kartą w sieci?

• Po wybraniu karty płatniczej jako metody płatności, zanim jeszcze wprowadzimy numer karty i inne dane, zostaniemy przekierowani na stronę serwisu pośredniczącego, czyli agenta rozliczeniowego. Dzięki temu mamy pewność, że nikt (na przykład personel sklepu) nie pozna numeru naszej karty płatniczej. Na tej stronie zwykle podajemy tylko dane posiadacza karty, możemy wybrać też dodatkowe ubezpieczenie transakcji.

• Następnie proces transakcji zostaje przekierowany do centrum autoryzacyjno-rozliczeniowego. Tutaj wprowadzamy numer karty, datę ważności karty, dane jej użytkownika (imię, nazwisko, adres zamieszkania podany przy wyrabianiu karty) oraz trzycyfrowy kod CCV2/CVC2. Kod CCV2/CVC2 jest odpowiednio oznaczony wspomnianymi symbolami i znajduje się bądź to na pasku podpisu, po prawej stronie paska magnetycznego, bądź na końcu numeru karty.

Bardzo ważne jest, by pamiętać o tym, że proces autoryzacji transakcji powinien odbywać się na stronie centrum autoryzacyjnego, a nie na stronie sklepu. Można to sprawdzić, obserwując pasek adresu, w którym podczas tego procesu powinien znajdować się adres WWW strony należącej do licencjonowanej przez NBP firmy, specjalizującej się w rozliczaniu transakcji przeprowadzanych za pomocą kart (patrz artykuł Płatności internetowe: Agenci rozliczeniowi i systemy rozliczeń w Polsce)

• Po zatwierdzeniu przez klienta wprowadzonych danych dotyczących karty system autoryzacyjny sprawdza ich poprawność oraz to, czy na karcie jest wystarczająca ilość środków – o czym zwykle informuje w stosownym komunikacie na wyświetlającej się w tym momencie stronie, a następnie przekierowuje na odpowiednią stronę z wynikiem transakcji – pozytywnym lub negatywnym (w przypadku braku środków lub braku zgodności danych).

Stronę wynikową – podsumowanie transakcji - zawsze warto sobie wydrukować lub zapisać w postaci PDF. Taki dokument może służyć jako podstawa reklamacji.

Coraz częściej karty płatnicze (zarówno kredytowe, jak i debetowe) zawierają jeszcze jedno zabezpieczenie – technologię 3D Secure (3DS). W przypadku transakcji 3DS wymagane jest potwierdzenie transakcji dodatkowym hasłem w serwisie internetowym banku, który wydał kartę. Oznacza to dodatkową czynność do wykonania i wydłużenie procesu zakupu, bowiem po wprowadzeniu danych z karty płatniczej kupujący przekierowywany jest do serwisu bankowości elektronicznej swojego banku, gdzie po zalogowaniu musi wprowadzić jeszcze hasło zabezpieczające transakcję. Sposób płatności 3D Secure, jeśli został poprawnie przeprowadzony, przenosi odpowiedzialność za oszukańcze transakcje na wydawcę karty.

Jak wygląda proces płacenia elektroniczną portmonetką (innymi elektronicznymi sposobami) w sieci?

• Zanim dokonamy zakupu, musimy zapewnić na koncie e-portmonetki lub karty podpiętej pod nią odpowiednią kwotę pieniędzy.

• Po wybraniu e-portmonetki jako metody płatności zostajemy przeniesieni na zabezpieczoną odpowiednimi technologiami (o których poniżej) stronę operatora konta wybranej metody płatności, gdzie musimy się zalogować.

• Po autoryzacji naszych danych dostępowych i zalogowaniu zwykle dane odbiorcy są automatycznie dostarczane poprzez system transakcyjny sprzedawcy, zatem wystarczy tylko wybrać metodę płatności – z konta portmonetki lub karty płatniczej – i zatwierdzić wybór.

• Po zatwierdzeniu wyboru sposobu płatności instytucja rozliczająca dokona weryfikacji danych, następnie przekieruje nas na stronę sprzedawcy, po czym wyśle do sprzedawcy informację o wyniku autoryzacji, którego strona z kolei wyświetli go kupującemu. Warto zawsze potwierdzenia zachowywać, np. w postaci pliku PDF, co umożliwiają wszystkie nowoczesne przeglądarki.

Na co zwracać uwagę, płacąc kartą lub e-portmonetką przez internet?

• Strony, na których przeprowadzane są transakcje, powinny być zabezpieczone protokołem transmisji danych SSL. Możemy go rozpoznać po ikonce zamkniętej kłódki, widocznej bądź to w pasku adresu, bądź na dolnej belce przeglądarki, a także po przedrostku https:// poprzedzającym adres internetowy  (literka „s” w tym przedrostku oznacza secure), który zastępuje standardowe http://, wykorzystywane w przypadku niezabezpieczonych stron

• Certyfikat SSL - płacąc kartą, korzystajmy wyłącznie ze znanych, sprawdzonych witryn, gwarantujących bezpieczeństwo danych. Witryny takie zwykle współpracują z jednym z agentów rozliczeniowych, który odpowiada za bezpieczeństwo płatności. Ponadto podmioty zabezpieczają swoje serwisy transakcyjne certyfikatami SSL, co można rozpoznać po żółtym lub zielonym pasku adresu (zależnie od rodzaju certyfikatu) oraz wspomnianej już wcześniej kłódce i adresie rozpoczynającym się od https://. Strony z certyfikatem SSL charakteryzują się jeszcze tym, że kiedy przebywając na nich spojrzymy na pasek adresu, to przed adresem witryny powinna pojawić się nazwa firmy, z którą się łączysz. Po jej kliknięciu uzyskasz dostęp do dokładniejszych informacji, łącznie z tym, jaka instytucja wystawiła certyfikat itd.

Pamiętaj! Będąc w posiadaniu karty płatniczej, powinieneś:

• Przechowywać karty płatnicze w bezpiecznym miejscu, niedostępnym dla osób postronnych.
• Chronić numer oraz termin ważności karty, a także numer CCV2/CVC2.
• Nie ujawniać nikomu kodu identyfikacyjnego (PIN).
• Niezwłocznie zgłaszać utratę lub zniszczenie karty płatniczej.
• Nikomu nie udostępniać swojej karty płatniczej ani kodu identyfikacyjnego.
• Niszczyć wszystkie pokwitowania, które otrzymujesz w sklepach, gdzie płaciłeś „plastikiem”, lub przechowywać je w bezpiecznym miejscu, jeżeli możesz ich potrzebować np. w procesie reklamacji.
• Jeśli tylko bank umożliwia taką funkcję - ustawiać limity wypłat dziennych i miesięcznych wypłat z karty, dla transakcji bezgotówkowych offline i transakcji internetowych. Zazwyczaj limity te można ustalić sobie samemu po zalogowaniu na konto bankowe.
• Na bieżąco sprawdzać otrzymywane wyciągi bankowe. W sytuacji gdy znajdziesz na nich transakcje, których nie wykonałeś, natychmiast powiadom bank i zastrzeż kartę.

Sprawdzenie i korekta merytoryczna artykułu:

Tomasz Koźliński – główny specjalista w Departamencie Systemu Płatniczego NBP,
Konrad Szylar – specjalista w Departamencie Systemu Płatniczego NBP.