18 sierpnia 2021

Sztuczna inteligencja i nie tylko, czyli jak nowe technologie w ostatnich latach zwiększyły bezpieczeństwo transakcji kartowych? 180 mld transakcji rocznie pod lupą

Sztuczna inteligencja i nie tylko, czyli jak nowe technologie w ostatnich latach zwiększyły bezpieczeństwo transakcji kartowych? 180 mld transakcji rocznie pod lupą

Sztuczna inteligencja, uczenie maszynowe, big data, analizowanie setek miliardów transakcji rocznie w czasie rzeczywistym, by weryfikować, czy to naprawdę my płacimy kartą czy też może oszuści podszywający się pod nas. Jak to możliwe, że w mniej więcej milisekundę można ocenić czy dana transakcja nie jest próbą wyłudzenia lub kradzieży pieniędzy? To nie jest żadne science fiction – to już się dzieje. Bezpieczeństwo transakcji kartą dzięki nowym technologiom nigdy nie było na tak wysokim poziomie jak dziś

Zobacz również:

Transakcje cyfrowe są coraz popularniejszą formą płatności. Pandemia przyspieszyła ten trend, bo zwiększyła odsetek zakupów w sieci. Niestety, razem z konsumentami cyfrowo rozwijają się też przestępcy. Rozbudowa zabezpieczeń transakcji kartą nie powinna jednak obniżać wygody posiadacza karty – jesteśmy przyzwyczajeni, że płacąc kartą w sklepie stacjonarnym, wyciągamy kartę z portfela (lub smartfon z kieszeni), przykładamy do terminala i zapłacone. Czasem trzeba jeszcze podać czterocyfrowy kod PIN.

W internecie chcielibyśmy płacić w ten sam lub zbliżony sposób. Zbliża nas do tego szereg nowych rozwiązań, jak choćby portfele cyfrowe, upraszczające płatność kartą przy zachowaniu wysokiego bezpieczeństwa. Wyzwaniem jest pogodzenie wymogów regulacyjnych (np. wymogów dotyczących autoryzowania transakcji, wynikających z dyrektywy PSD2) z dążeniem do tego, żeby płacenie kartą było nieabsorbujące i wygodne.

„Jednym z największych wyzwań w obszarze płatności jest oddzielenie legalnych transakcji, realizowanych przez posiadaczy kart, od prób dokonania transakcji oszukańczych. I to w taki sposób, żeby nie tworzyć dodatkowych niedogodności dla użytkownika”

– mówi Melissa McSherry, odpowiadająca w firmie Visa za obszar usług związanych z zarządzaniem ryzykiem. Sztuczna inteligencja ma za zadanie zapobiegać takim niedogodnościom. Visa wprowadziła analizę ryzyka płatności w czasie rzeczywistym już w 1993 r. Ile z Was miało wtedy kartę płatniczą? Ale oczywiście ten system jest stale rozwijany i wzbogacany o najnowsze technologie.

Dowiedz się więcej o sztucznej inteligencji wykorzystywanej przez Visa.

Czytaj też: Płatności cyfrowe, czyli rewolucja na zakupach. Już tak płacimy za taksówki, serwisy z filmami czy przejazdy autostradą. Co będzie dalej?

Wzorce i klastry, czyli jak sztuczna inteligencja pomaga nas chronić?

Jak to działa? Za każdym razem, gdy dokonujemy zakupu profil naszej karty jest aktualizowany i porównywany z danymi innych profili o podobnych zwyczajach zakupowych. Visa, dzięki skali swojej działalności, jest w stanie porównać każdą płatność z ponad 3 miliardami profili, za pomocą których realizowanych jest około 180 miliardów transakcji rocznie.

Takie płatności są grupowane w klastry na podstawie zachowań klientów, a każda z płatności może pasować do setek takich klastrów. Dzięki temu, nawet gdy kupujemy coś czego nigdy wcześniej nie kupowaliśmy, sztuczna inteligencja jest w stanie sprawdzić, czy zakup pasuje do któregoś z wzorców i poinformować bank o tym, czy rachunek prawdopodobieństwa wskazuje na to, że płatność jest autentyczna.

W czasie rzeczywistym badane są wzorce zachowań, aktywność oraz ponad 500 czynników ryzyka. Odpowiednie algorytmy wychwytują podejrzane sytuacje i pozwalają na zablokowanie transakcji lub na kontakt z klientem w celu jej potwierdzenia.

Są sytuacje proste do wychwycenia (godzinę temu byliśmy w sklepie w Radomiu, a nagle mielibyśmy pić kawę w Egipcie?), ale większość z nich najczęściej wymaga dogłębnej analizy. Sztuczna inteligencja dokonuje jej błyskawicznie. Nie ma dostępu do naszych danych osobowych, ale potrafi ocenić, czy dana płatność pasuje do schematów zakupowych należących do danego klastra. Sztuczna inteligencja od Visy uczy się też z każdą kolejną transakcją i dzięki temu jest coraz bardziej skuteczna.

W poprzednim roku przetworzono ponad 200 miliardów transakcji kartą Visa. Sztuczna inteligencja przeanalizowała każdą z nich pod kątem potencjalnego oszustwa. Ale płatności w sklepach wcale przez to nie zwolniły.

Korzyści są spore. Sztuczna inteligencja Visy pomogła zapobiec oszustwom na kwotę około 25 mld dolarów w ciągu roku. Firmie udaje się utrzymywać liczbę nieuczciwych transakcji na niezwykle niskim poziomie – poniżej 0,1%. Jednak pomoc sztucznej inteligencji to nie jedyny sposób, w jaki organizacja płatnicza dba o nasze bezpieczeństwo transakcji kartą.

Czytaj też: Zakupy, za które płacisz głosem i nie tylko. Oto trzy trendy w kupowaniu, które najbardziej nam zmienią życie. Czy polubimy takie zakupy?

Szyfrowanie danych karty, czyli jak tokenizacja zwiększa bezpieczeństwo transakcji?

Kolejną warstwą zapewnienia bezpieczeństwa naszych płatności kartą jest tokenizacja. W końcu my możemy nie mieć sobie nic do zarzucenia, możemy postępować ostrożnie i odpowiedzialnie, ale jednak podajemy dane swoich kart w celu wykonywania płatności (w sklepach internetowych, na urządzeniach elektronicznych).

Takie dane ze sklepu mogą wyciec lub ktoś może się włamać na serwery sklepu, do którego podpięliśmy naszą kartę. Normalnie w takiej sytuacji bylibyśmy zmuszeni do blokowania karty i występowania o nową, ale na szczęście ktoś wymyślił tokenizację.

O co chodzi? W skrócie: tokenizacja zastępuje 16-cyfrowy numer karty bezpiecznym tokenem. Transakcja przebiega normalnie, sprzedawca otrzymuje pieniądze, a wszyscy uczestnicy procesu (na przykład bank czy organizator programu lojalnościowego) wiedzą, która karta została wykorzystana. Natomiast ewentualne przechwycenie danych takiej karty nic nie daje potencjalnemu złodziejowi.

Czyli nawet w pechowej sytuacji, w której nasze dane wyciekają z jakiegoś sklepu albo zgubimy zegarek z podpiętą kartą, nic złego się nie stanie. Ewentualny oszust nie będzie w stanie taką kartą zapłacić w internecie, bo będzie miał tylko token. W przypadku zgubienia fizycznej karty sytuacja jest dużo gorsza, bo wszystkie dane są na niej napisane. Adrian Kurowski, dyrektor firmy Visa w Polsce, podliczył nam, że w ciągu ostatnich 12 miesięcy Visa wygenerowała 680 mln tokenów, które ochroniły nasze transakcje.

Portfel elektroniczny: płacąc za zakupy, nie trzeba podawać danych karty

Ciekawym zabezpieczeniem (a jednocześnie bardzo wygodnym rozwiązaniem), wykorzystującym omówioną przed chwilą technologię tokenizacji, jest wykorzystanie portfela elektronicznego. Dzięki niemu wystarczy tylko raz podać dane swojej karty, aby zapisać je w swego rodzaju wirtualnym sejfie.

Dzięki temu przy każdej kolejnej płatności nie musimy ich już przepisywać na stronie każdego sprzedawcy. Tam wystarczy tylko podać ustalone wcześniej hasło (coś jak otwieranie tego sejfu kluczykiem). W Visie takie rozwiązanie nazywa się Click to Pay.

Obecnie Visa przenosi też tokenizację do chmury obliczeniowej. Pozwoli ona przypisywać zaufane urządzenia do naszych tokenów, którymi posługujemy się płacąc w internecie. Uniemożliwi to skorzystanie z takiego tokena na innym urządzeniu, co spowoduje że nasze transakcje będą jeszcze wygodniejsze ale przede wszystkim o wiele bezpieczniejsze. Szerzej zagadnienie tokenizacji Maciek wyjaśnił w tym tekście.

Sprawdź też, co o tokenizacji pisze Visa na swoim blogu.

Czytaj też: Płacenie palcem już jest. A kiedy zapłacimy okiem i głosem? To wciąż futurystyka czy całkiem bliska przyszłość?

Silne uwierzytelnienie transakcji, czyli zalety biometrii

Od 2021 r. w Europie obowiązuje wymóg silnego uwierzytelnienia klienta (Strong Customer Authentication – SCA). Zmiany, które zostały wprowadzone, wymagają od banków dodatkowego potwierdzenia, czy osoba, która dokonuje płatności faktycznie, jest użytkownikiem karty. Uwierzytelnienie musi wykorzystywać co najmniej dwa elementy w ramach kategorii „tego, co płacący posiada”, „tego, co płacący wie” oraz „tego, czym/kim płacący jest”. Do pierwszej grupy należy chociażby fakt posiadania smartfona (powiązanego z kartą SIM, na który przychodzi kod SMS) czy też karty płatniczej, w drugiej grupie mogą się znaleźć PIN czy hasło, w trzeciej – skan twarzy czy odcisk palca.

Czy silne uwierzytelnienie jest konieczne za każdym razem? Nie, ponieważ dyrektywa określa także tzw. transakcje wyłączone spod obowiązku silnego uwierzytelniania. Są to przede wszystkim transakcje inicjowane przez sprzedającego, takie jak miesięczne opłaty za subskrypcje czy rachunki, lecz także np. jednorazowe opłaty parkingowe.

Uwierzytelnić musimy się też w sklepach stacjonarnych, jeżeli korzystamy z różnego rodzaju kart i kart wirtualnych (w zegarkach, telefonach, itd.). Jakie są możliwości? Do marca ubiegłego roku płacąc kartą zbliżeniowo, PIN podawaliśmy przy transakcjach powyżej 50 zł (obecnie limit podniesiony jest do 100 zł). Zgodnie z dyrektywą PSD2 obecnie podajemy też PIN, gdy suma wartości transakcji przekroczy ustaloną kwotę (max 150 euro – chyba, że bank ustalił niższy limit). Płacąc telefonem, transakcje autoryzujemy biometrycznie lub kodem, a płacąc zegarkiem najczęściej wystarczy go odblokować raz dziennie i nie zdejmować z ręki.

Coraz częściej stosujemy autoryzację biometryczną (odciska palca, tęczówka oka, rozpoznawanie twarzy, rozpoznawanie głosu). W prosty sposób łączy ona cechy wymagane do silnego uwierzytelnienia, bo potwierdzamy swoją tożsamość poprzez nasze indywidualne cechy na naszym urządzeniu (zarejestrowanym na nas). Jest to o tyle wygodne, że nie musimy pamiętać żadnych haseł, bo to my (np. nasz odcisk palca) jesteśmy hasłem.

Więcej o silnym uwierzytelnianiu pisał Maciek tutaj.

Bezpieczeństwo to też chargeback

Płatność kartą jest przez wiele osób uważana za najbezpieczniejszą formę płatności z jeszcze jednego powodu: tylko płacąc kartą, możemy skorzystać z chargebacku. Tę procedurę wielokrotnie opisywaliśmy i chwaliliśmy – na przykład tutaj czynił to Maciek Bednarek, a tutaj Maciek Samcik.

W największym skrócie: jest to procedura pozwalająca na odzyskanie swoich pieniędzy przy płatności kartą, jeżeli coś poszło nie tak. Oczywiście nie możemy sobie zawnioskować o chargeback ot tak. Transakcja musi być niezgodna z umową (na przykład otrzymaliśmy zły produkt, zły rozmiar, wcale nic nie otrzymaliśmy, sprzedawca zbankrutował albo z karty ściągnął złą kwotę), a sprzedawca odrzuca reklamację.

Ta ostatnia kwestia jest ważna, bo przed przystąpieniem do chargebacku powinniśmy udowodnić, że kontaktowaliśmy się w tej sprawie ze sprzedawcą. Często problemy można po prostu wyjaśnić – może to zwykłe nieporozumienie. Jeżeli jednak sprzedawca odrzuca lub ignoruje naszą reklamację, to mamy prawo do tej procedury niezależnie od tego, który bank wydał nasza kartę (wszystkie karty Visa są nią objęte).

Musimy też udowodnić swoją rację, a więc warto dokumentować wszelkie niezgodności towaru lub usługi z umową i korespondencję ze sprzedawcą. Po chargeback zgłaszamy się do swojego banku, ale to organizacje płatnicze regulują tą procedurę swoimi wewnętrznymi przepisami.

Podsumowując: płatność kartą to jedna z najbezpieczniejszych form opłacania zakupów, bo organizacje płatnicze dbają o nasze bezpieczeństwo, a ich zabezpieczenia mają wiele warstw. Od sztucznej inteligencji analizującej każdą transakcję po możliwość zrobienia zakupów bez podawania sprzedawcy danych karty płatniczej. A jeżeli mieliśmy pecha i zostaliśmy oszukani, to ciągle chroni nas procedura chargeback. Zresztą często sam fakt, że dany sklep akceptuje taką formę płatności jest dodatkowym argumentem za bezpieczeństwem, bo to znaczy, że został już wcześniej zweryfikowany przez dostawcę płatności.

Zdjęcie główne: pixabay / geralt

—————————

Artykuł powstał w ramach cyklu „O wygodnym płaceniu – niezbędnik nowoczesnego konsumenta”. Partnerem merytorycznym tego cyklu jest organizacja płatnicza

Subscribe
Powiadom o
10 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Admin
3 lat temu

Jak wojna to wojna

~marcin
3 lat temu
Reply to  Maciej Samcik

Wow, rozwijają się chłopaki z Boston Dynamics.

Odwdzięczam się starym już nagraniem z robotami latającymi: https://www.ted.com/talks/vijay_kumar_robots_that_fly_and_cooperate/transcript?language=pl

6:50 – robot przelatuje przez rzucane mu hula-hoop
9:55 – koordynacja lotu wielu robotów
11:05 – latające roboty w budowlance
14:55 – mały koncert (dla osób bez przesadnych wymagań)

Anna
3 lat temu
Reply to  Maciej Samcik

… a obrońcy na tej wojnie zawsze są o krok za agresorami…

~marcin
3 lat temu
Reply to  Anna

To jest także kwestia opłacalności: nie opłaca się stworzenie zabezpieczeń za 500 milionów, aby uchronić przed wyłudzeniami 200 milionów.

Anna
3 lat temu
Reply to  ~marcin

Ekonomia jest ekonomią – bo to przecież w jej ramach się poruszamy…Niemniej stawiam euro przeciw pln ;-),że umysł programisty pracuje nieco inaczej,niż hakera a choroba idzie przed lekarzem…

~marcin
3 lat temu
Reply to  Anna

„umysł programisty pracuje nieco inaczej,niż hakera a choroba idzie przed lekarzem”

Myślę, że spokojnie mógłbym podać argumenty zarówno na potwierdzenie tej tezy, jak i jej zaprzeczające, zatem podsumowałbym to wyrażeniem „to zależy” 😉

Jacek
3 lat temu
Reply to  Anna

A ja winę zwalam raczej na twórców języków i bibliotek programistycznych… przecież dość łatwo utworzyć wbudowane procedury broniącej zmiennej przed (…)przekręceniem się(…). No powiedzcie co za problem przed dodawaniem zmiennych odjąć jedną z nich od zakresu typu i sprawdzić czy różnica osiągnięta tą drogą nie jest wyższa od drugiego składnika operacji sprawdzanego dodawania?

Jacek
3 lat temu
Reply to  Anna

Jak to na wojnie…

Jacek
3 lat temu

(…)Zbliża nas do tego szereg nowych rozwiązań, jak choćby portfele cyfrowe, upraszczające płatność kartą przy zachowaniu wysokiego bezpieczeństwa. Wyzwaniem jest pogodzenie wymogów regulacyjnych (np. wymogów dotyczących autoryzowania transakcji, wynikających z dyrektywy PSD2z dążeniem do tego, żeby płacenie kartą było nieabsorbujące i wygodne.(…)
A gdzie tu zdrowy rozsądek… takie płatności to jak łażenie z rozwalonym portfelem na wierzchu.

Jacek
3 lat temu

Szkoda, że nadal banki utrzymują pojedyńczy punkt katastrofy*, a blockchain potrafią tylko hatewać.

* Przyrównajcie serwerownię banku do siedziby Prudentiala w Powstaniu Warszawskim to szybko dojdziecie o co mi chodzi…

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu