De hype rondom de veiligheid van internet-betaalsystemen

Nogal kort door de bocht van Dhr. Delhij en vooral toegespitst op zijn eigen verhaal. Er zit een wezenlijk verschil in het betalen van de ober met je creditcard of het afgeven van je creditcard gegevens via het Internet. Dat dit laatste een kwestie is van vertrouwen, staat als een huis. Maar daar wringt nu net de schoen, want dat zou gebaseerd moeten zijn op garanties en zekerheden. Dat SET een flop is gebleken, komt niet in de laatste plaats door I-Pay en de banken zelf. Wij hebben in het verleden bij verschillende banken SET aangevraagd en kregen bij de meerderheid te horen SET wie..? Het personeel was totaal niet op de hoogte van dit fenomeen en het duurde onacceptabel lang voordat e.e.a. geregeld was. Onlangs heb ik op mijn creditcard een charge-back moeten uitvoeren, omdat er onrechtmatig geld via mijn creditcard was afgeboekt. Het waarom laat ik even in het midden, maar betalingen worden door de creditcardmaatschappij geaccepteerd, zonder dat daar een handtekening of toestemming van de houder van de kaart tegenover staat. Dat er op dit moment met name in Amerika veel mensen transacties terug draaien die met een Internet Casino zijn uitgevoerd en dat hierdoor de creditcard-maatschappijen geen transacties met Internet casino's meer willen accepteren, zegt iets over de kwaliteit van dit betalingssysteem. Indien ik hier mijn kaartnummer en verloopdatum publiceer, kan een ieder vrolijk op mijn kosten aan de gang (wordt me iets te duur, sorry!). Met SET is dat een ander verhaal. Mijn gegevens blijven van mij-, en bij mij en ik geef duidelijk toestemming (of niet) voor het uitvoeren van een transactie. SET is wat mij betreft zeker niet zaligmakend, maar heeft wat veiligheid betreft in mijn ogen op dit moment geen beter alternatief.

Meneer Perukel negeert voor het gemak even een van de belangrijkste oorzaken waarom betalen met creditcard op het internet als relatief onveilig wordt beschouwd: Weliswaar is het transactie-traject redelijk goed beveiligt en is het risico op misbruik door de webwinkelier zelf klein, maar de klantendatabases van deze webwinkeliers, met daarin de creditcardgegevens staan vaak op bizar slecht beveiligde webservers. Met als gevolg dat derden in het bezit komen van hele ritsen creditcardgegevens waarvan de bron nauwelijks te traceren is. Ik wil niet beweren dat dat het fraude-percentage beter verklaart dan Perukel's betoog, maar het is an sich al verdacht dat degenen die betalen via internet promoten, zoals de heer Perukel, dit 'probleempje' steevast verzwijgen.

Wat mij betreft stoppen we nu en hier met het eeuwige 'gezeur' over veiligheid van internetbetalingen via de credit-card. Ik ben het ermee eens dat een aantal partijen de afgelopen jaren de perceptie van publiek, consument en bedrijfsleven op een onzalige manier ten behoeve van de eigen politieke of commerciële doelstellingen gekleurd heeft. Het resultaat is duidelijk: veel mensen zijn bang voor betalen via Internet (NIPO, Wereldwijd E-commerce onderzoek 2001, Amsterdam, 2001). Laten we proberen niet mee te gaan in de beperkte discussie over veiligheid maar een wat breder perspectief nemen. Dan zien we dat het ook over juridische voorwaarden moet gaan en het business model van de partij die iets op het internet aanbiedt. Dan heb je het dus eigenlijk over vertrouwd zakendoen en de manieren waarop je dat kunt bevorderen. Zie: http://www.ipo.tue.nl/homepages/fegger/CAHD2001.htm  En laten we ons realiseren dat er meer dan genoeg goede mogelijkheden om veilig en vertrouwd via het web te betalen. Zie hiertoe ook het recente rapport van ECP.NL over betalen op Internet 2. Echte grasduiners/diehards die de precieze details willen weten kunnen tenslotte hier eens {lezen; http://www.simonl.org/crdintrnt.ppt }.

Wat ik zo grappig vindt van al deze discussies is dat het altijd gaat over de gedupeerde consument/kaarthouder! Vergeten wordt echter de eerlijke internet winkelier, welke na het versturen van goederen wordt geconfronteerd met een charge-back. Goederen kwijt en geld kwijt.

Kijk, als we het over de winkelier hebben: een (kleine) winkelier die iets wil verkopen op internet doet er goed aan het betalingsverkeer (inclusief credit-card transacties) via een grote gespecialiseerde derde partij te laten verlopen. Die zullen het wel uit hun hoofd laten om te frauderen met credit-cards. En de consument zal echt niet zo snel zijn cc-gegevens invullen op de site van een of andere vage boemerang-verkoper uit Australie, maar wel op de (vertrouwde) site van zijn bank bijv.

Zoals wellicht bekend hebben wij (Berenschot) vorig jaar een onderzoek gedaan onder e-tailers, waaruit bleek dat de creditcard t.o.v. traditionele betaalmiddelen (o.a. rembours en acceptgiro) relatief erg weinig worden gebruikt door de consument. De e-tailer wordt zelf ook nog eens belast met hoge commissiebedragen en eventueel nog extra processingkosten als de transactie door een derde partij wordt verwerkt (bijvoorbeeld Bibit). Consumenten hebben geen vertrouwen in de creditcard en dit zal voorlopig niet meer veranderen. Bovendien is de penetratiegraad in Nederland te laag, zodat dit betaalmiddel gewoonweg ongeschikt is voor e-betalingen. Kortom: de creditcard is ooit voor een ander doel ontworpen en moet daar ook voor gebruikt worden. Criminaliteit van de straat is verhuisd naar Internet en bendes zijn actief met creditcard-fraude (ik heb zelf in de creditcard-branche gewerkt). Voor (internationale) internetbetalingen moeten banken meer samenwerken om te komen tot een internationale veilige standaard. op dit moment loopt een aantal initatieven die veelbelovend zijn, maar nog onvoldoende draagvlak/aandacht hebben. Ook voor de markt in Nederland moet een standaard komen die breed geaccepteerd en voldoende veilig is. Dit kan alleen tot stand komen als banken het voortouw nemen in een dergelijk intiatief en elkaar niet gaan concurreren. Banken hebben het ook het vertrouwen van de markt (consumenten en e-tailers). Kortom: geen krampachtige nieuwe ontwikkelingen meer om die creditcard heen bouwen en zorgen voor een betaalmiddel dat past bij de snelheid en het gemak van internet.

En in de tussentijd?

Begrijp ik het nu goed? Er is dus een tussenpersoon nodig, die de verkoper controleert en de koper controleert op betrouwbaarheid. Hiermee wordt de vertrouwensbasis hersteld. Daarnaast vindt bij de tussenpersoon centrale opslag van de te beveiligen gegevens plaats (dus geen slecht beveiligde databases op webservertjes meer). Voorwaarde voor deze tussenpersoon is een zeer betrouwbare reputatie. Als laatste is er een veilige manier van data verzenden nodig. Volgens mij zijn alle bovenstaande ingredienten reeds langere tijd aanwezig in de markt. Toch is online betalen nog geen gemeengoed en bestaat er veel wantrouwen bij de consument (Nipo-onderzoek blabla). Vraag is waarom de geijkte tussenpersonen (banken), hun rol nog niet op zich hebben genomen. Misschien uit angst voor hun allerbelangrijkste goed, reputatie? Vraag is dus hoe we de angst van de banken weg kunnen nemen en daarmee de angst van de consument.

Even een korte reactie op Luke Verburgh. 1. Consumenten hebben geen vertrouwen in de creditcard. -OK kan ik begrijpen, maar hoe komt dat dan?2. De penetratiegraad is erg laag in Nederland. -Maar wat is de penetratiegraad van alternatieven die nog niet bestaan? Het fysieke bezit is daarbij m.i. niet van belang.3. De kosten van een cc-betaling zijn relatief erg hoog, en bij gebruik van een derde partij komen daar extra kosten bij. -Dat mag wel zo zijn, maar vergeet niet dat de kostenstructuur van een product dat via internet verkocht wordt zowiezo wel eens heel anders kan zijn dan we gewend zijn. Daar kan je in je verkoopprijs rekening mee houden. Bovendien denk ik dat de consument in ruil voor wat garanties over de veiligheid best een paar centen meer wil betalen. Ik ben het eens als je het over micro-payments hebt, dan worden de transactiekosten relatief te hoog.4. Kortom: de creditcard is als betaalmiddel buitengewoon ongeschikt voor e-betalingen. -Hier raak ik de draad kwijt. Deze gedachtensprong kan ik niet volgen. Ik heb een aantal aankopen via de creditcard gedaan op internet, allemaal via een derde partij, en ik vond de cc wel heel erg geschikt.

Fraude is voor een groot deel af te dekken door bij het verifieren van de kaart door de webwinkelier bij de CC maatschappij (voordat de bestelling verstuurd wordt) te controleren of het billingadres en naam van de order hetzelfde zijn als de bij de kaart geregistreerd staande kaarthoudersgegevens. Er is geen CC maatschappij die dit kan leveren voor wereldwijde klantenbestanden. Een dergelijke controle zorgt er in ieder geval voor dat fysiek geleverde goederen alleen verscheept kunnen worden naar de kaarthouder en niet naar een fake adres. Ook zou dit naspeuring bij onterechte chargebacks waarbij de goederen niet terugkomen naar de webwinkelier eenvoudiger maken. Ook zou ik willen pleiten voor een zwarte lijst van afleveradressen die in het verleden voor fraude zijn gebruikt. Uit privacy overwegingen ligt dit wat moeilijk, maar daar is vast een mouw aan te passen.

Gebruik gewoon een e-crow service en daarnaast laten we het is hebben over het vervoer (met name wereldwijde transport) van producten. Hier hoor je niemand over. En over het onderzoek van Gartner zeg ik; onderzoek nu eens welke technologie (SSL) het meest veilig is, welke firewalls of serveroplossing. (IIS of PHP), waar de meeste incidenten plaatsvinden en hoe bedrijven zich organisatorisch hun betalinssysteem het beste kunnen inrichten en CONTROLEREN. Daarnaast vind ik persoonlijk dat de overheid hiervoor bescherming moet geven. Als ze wat uit de winkel jatten, komt toch ook de politie?

Reactie op bericht van Hugo Langras. American Express kan wereldwijd online realtime adresverificaties uitvoeren op de gegevens zoals vermeld op de kaart. Dit kan een interessante aanvulling zijn op de 4DBC check, waarmee voorkomen kan worden dat uit de prullenbak gehaalde recu's (bv. op Schiphol) gebruikt kunnen worden voor CC betalingen.

Allereerst dank voor alle reacties. Uit de 'score' die tot nu toe behaald is kunnen we in ieder geval constateren dat het onderwerp leeft. Daarnaast wil ik toch reageren op een aantal zaken die men aandraagt. 1. SET is geflopt. Dat is een vaststaand feit. En dat kwam door een aantal redenen.a. de monsterlijk ingewikkelde wijze van installatie.b. het feit dat SET na installatie alleen op die desbetreffende PC was te gebruiken.c. als U een nieuwe PC kocht moest er een nieuwe licntie aangevraagd worden en komt U weer uit op punt A. Maar veel belangrijker was dat de USA-markt geenszins van plan was SET te gaan gebruiken. Daar speelde o.a. het 'not invented here' syndroom in mee, maar veel belangrijker was het feit dat men het uit fraudeoverwegingen niet belangrijk vond. Immers, zolang de kosten afgewenteld kunnen worden op de merchant is er niet aan de hand, zo redeneert men. Daarnaast heeft Arno Delhij het over 'vertrouwen' als belangrijkste basis om zijn e-boodschappen te doen. Tja, daarmee maak je je wereld wel erg klein. Het gevolg zou zijn "wat de boer niet kent…." en dat lijkt me nou niet bepaald hetgeen het Internet mij kan brengen. Mo'Riche spreekt over de kwalitatief lage wijze waarop e-winkeliers met hun data omspringen. Dat is waar, alhoewel je af mag vragen of gebruikers van software verantwoordelijk zijn voor de kwaliteit.Een groter probleem zit er m.i. in de eigenwijsheid van sommige e-merchants. Te vaak heb ik mee mogen maken dat men geen gebruik wil maken van paymentbedrijven maar het probleem zelf wenst op te lossen. Als gevolg daarvan staan er bij Proxis en Bol miljoenen Euro's open aan onbetaalde rekeningen. Marcel raakt een punt. Inderdaad is het zo dat het volledige risico van backcharges bij de winkelier ligt. En zolang men de boetes blijft betalen zal dat nog wel een tijdje zo blijven, denk ik. Luke Verburgh van Berenschot loopt een beetje achter de feiten aan, vrees ik. Uit ervaring (als voormalig eigenaar van een betaalsysteem) weet ik dat de penetratie van creditcards best meevalt in Nederland. Vooral de adultindustrie maakt daar gretig gebruik van. De vraag is Luke, of jouw respondenten dat durven in te vullen. Enfin, je hebt leugens, grote leugens en onderzoek zullen we maar zeggen. Hugo langras is niet volledig geinformeerd. ALLE Amerikaanse creditcards kunnen op adres (online, realtime) worden gecontroleerd. De Europese creditcard maatschappijen wensen daar niet aan mee te doen. Er is een simpele tussen-oplossing. Vraag bij aflevering van de goederen om een handtekening waarmee automatisch de transacties door de afnemer wordt geaccordeerd. Vanaf dat moment is het onmogelijk een charge-back te doen. Raymond Vlielander spreekt over de controle waarin U wordt gevraagd de extra 3 cijfers die op uw handtekeningenstrook staat, mee te geven met de transactie. Inderdaad iets veiliger maar het zal niet lang duren voordat deze data ook weer gestolen zal worden. Mijn conclusie is en blijft; zolang de gebruikers van een 'slecht' systeem bereid blijven de kosten (en meer dan dat) te betalen zullen creditcardmaatschappijen en banken niet geneigd zijn veranderingen aan te brengen.

Bedankt voor de aanvulling op mijn gebrekkige informatie. Het schijnt dat AE wel kan checken op adres en dit wereldwijd. Ik blijf het grappig vinden dat CC maatschappijen geld durven vragen voor checks, zonder dat dit een garantie biedt.

Als (ex)-projectleider SET voor Visa Card Services betreur ik natuurlijk dat SET het niet heeft gehaald.Maar dan moeten we de juiste lessen leren en niet, zoals nu, concessies doen aan veiligheid en 1-standaard. Was SET niet alleen een standaard voor verschillende creditcard organisaties (CCO's), het was ook een standaard voor zowel de kant van de acquirer/merchant en issuing/consument! Zoals altijd zien we ook nu weer golfbewegingen. De reactie die nu we nu zien is overtrokken. Visa, MasterCard en American Express kiezen allemaal voor alternatieve oplossingen en ook nog eens voor oplossingen waarbij issuing & acquiring gedeelte los van elkaar staan. Welke merchant (of klant) begrijpt nu nog wat van UCAF, PAS, SPA, 3D-Secure en 'Verified by Visa'? Dit gaat dus 3 jaar lang gepusht worden om vervolgens ook weer (golfbeweging) samen te smelten tot weer een nieuwe ontwikkeling. Wat mij ook verbaast is dat de CCO's het gebruik van digitale certificaten niet meer centraal stellen. Juist nu PKI bekend/geaccepteerd wordt en juist nu digitale handtekingen in bijna de hele wereld als wettige handtekening worden erkend (non-repudiation/encryption/hashtotals/integrity)!Daarmee kunnen veiligheid van transacties afgevangen worden door de wetgeving i.p.v. speciale CCO-regelementen met charge-back percentages, kosten, boetes en afsluitingen. Bekijken we de fraude dan is 2/3 deel te wijten aan:A) klanten die ontkennen de transactie te hebben gedaanB) klanten die beweren de goederen niet (goed) te hebben ontvangen. Daarom wordt er zeer binnenkort een nieuw betalingssysteem gelanceerd: Virtueel Account System ({VASpay; http://www.b2u.nl/vaspay }). Hierbij worden naast een money-back guarantee en uitsluiting van chargebacks (digitale certificaten, PIN-code & tracing-tracking) ook de Koop-op-afstand wetgeving, micropayments, money-payout (casino's) en person2person-transacties gerealiseerd. Te mooi om waar te zijn? Over drie maanden gaat VASPAY live op Curacao voor de gaming-wereld.

Hans Bouman wijst enthousiast op het nieuwe VASpay dat binnenkort op Curacao 'live' gaat. Men zal zich in eerste instantie met name richten op de gaming (lees casino) wereld. Een blik op de site van VASpay leert dat deze providers gebruik moeten maken van een zogenaamde non-standaard account. De kosten zijn te waar om mooi te zijn : Transaction fee : US$ 0,35Processing rate : 10% – 15%Remaining balance of qualifying revenues from the sale of each transaction will be paid to Merchant's VAS account in real-time with no delay. Om zich wat verder in te dekken: In the event of Customer returns or Chargebacks, VAS will retain the original charges.Indien je bedenkt dat het gemiddelde uitkeringspercentage van een Internet Casino 97% is, gaat het stortproces de aanbieder meer geld kosten dan het bedrag op zal kunnen opleveren. Ik eet mijn sok op als deze vorm van online betalen met deze kosten in de casino branche een succes wordt 🙂

Dat het allemaal zo'n vaart niet loopt (én dat er legio alternatieven zijn) blijkt uit het {rapport; http://www.ecp.nl/publicatie/betalen2.htm } 'Betalen op Internet 2' van ECP.NL.

Wat denken jullie van het volgende: Ik krijg een incassobericht van een deurwaarder over een vordering die Proxis op mij zou hebben wegens geleverde maar niet betaalde goederen. Aangezien je alleen met cc (of vooruitbetaling) kan betalen heb ik altijd met cc betaald. Nu beweren ze dat ze iets geleverd zouden hebben zonder dat er betaald is. Nota bene verwijzen ze naar de website voor de specificatie van het onbetaalde maar daar blijkt juist dat alles betaald is met cc.Kortom, als een e-commerce bedrijf haar boekhouding niet op orde heeft is de consument de dupe! Afgezien van het feit dat ik natuurlijk nooit meer iets bij dat bedrijf zal kopen doet dit het vertrouwen in de e-commerce niet bepaald goed.