Od kilku miesięcy posiadacze kart płatniczych kilku polskich banków – Alior Banku, BZ WBK, banku T-Mobile, a ostatnio dołączyły też Nest Bank i mBank – mogą korzystać z nowego sposobu płacenia telefonem, udostępnionego przez Google. Rzecz nazywa się Android Pay i pozwala podpiąć do telefonu kartę płatniczą nawet wtedy, gdy klient nie używa banku w telefonie (czyli nie ma aplikacji mobilnej swojego banku).
Tutaj czytaj więcej o Android Pay: Wady, zaledy i jak to działa
- Zastanawialiście się kiedyś, ile śladu węglowego generuje Wasza firma? Warto wiedzieć, bo coraz częściej mogą Was o to pytać. Jak policzyć swój ślad? [POWERED BY BANK PEKAO]
- Na jaki procent założyć lokatę, żeby ochronić swoje pieniądze przed inflacją? Trzy kroki [POWERED BY RAISIN]
- Polska na ścieżce inwestycji, Europa na ścieżce konfrontacji. Dr Ernest Pytlarczyk o deglobalizacji [POWERED BY BANK PEKAO]
Żeby z tego korzystać trzeba mieć kartę jednego z wymienionych banków, ściągnąć ze sklepu Google aplikację Android Pay i wybrać plastik, który ma służyć do zbliżeniowego płacenia telefonem (ciut inaczej to działa w mBanku, ale nie będę wchodził tu w szczegóły, odsyłam do wpisu, który temu poświęciłem). Samo płacenie odbywa się tak, jak kartą zbliżeniową – trzeba tylko wzbudzić telefon (czyli podać PIN), a aplikacja Android Pay sama już się zorientuje, że w pobliżu jest terminal płatniczy, z którym trzeba „pogadać”. Przy transakcji powyżej 50 zł oczywiście trzeba podać PIN, a poniżej – wystarczy zbliżenie.
Android Pay od niedawna działa też w… internecie. Kto ma w telefonie aplikację Allegro i Android Pay z przypiętą kartą swojego banku może płacić za zakupy na Allegro wybierając właśnie tę metodę. Ponieważ w sklepach internetowych nie ma terminali i nie ma do czego zbliżyć telefonu, to po prostu potwierdza się chęć zapłacenia przez Android Pay palcem. Pierwsi moi czytelnicy już się zabrali za testowanie tego sposobu płacenia i… nabrali wątpliwości.
„Chciałam Pana zainteresować bezpieczeństwem coraz popularniejszej aplikacji Android Pay. Mój mąż lubi testować takie nowinki i do wczoraj był z tego sposobu płacenia bardzo zadowolony. Ale wczoraj mina mu trochę zrzedła. Zainstalował aplikację Allegro, zrobił zakupy na ponad 400 zł i przy płatności postanowił skorzystać z opcji Android Pay. Potwierdził – i zapłacone. Zero autoryzacji„
– pisze czytelniczka. Do Android Pay jej mąż ma podpiętą kartę kredytową BZ WBK. W normalnych warunkach – czyli gdyby płacił tą kartą w internecie – płatność musiałby potwierdzić SMS-em autoryzacyjnym zgodnie z procedurą 3D Secure. Tu wystarczyło posiadanie telefonu. Co prawda telefon klient ma dobrze zabezpieczony (odciskiem palca), ale mimo to zrobiło mu się łyso. Moja czytelniczka opowiada, że zgłosiła sprawę mizernego zabezpieczania transakcji internetowych Android Pay do swojego banku, ale ten uznał, że to nie jego problem.
Czy ma rację? Jego problem czy nie jego? I czy to w ogóle jest problem? Popędziłem hyżo do przedstawicieli Google’a i zapytałem: czy to prawda, że lekce sobie ważą bezpieczeństwo transakcji Android Pay w internecie – nawet tych dużych, kilkusetzłotowych? A może wychodzą z założenia, że wygoda jest najważniejsza?
„Aplikacja Android Pay pozwala zapisać kartę tylko wtedy, gdy telefon jest zabezpieczony hasłem PIN lub odczytem linii papilarnych palca. Inne metody „zamykania dostępu” do urządzenia lub brak jakichkolwiek sposobów zabezpieczenia dostępu do urządzenia, skutkują tym, że karta w Android Pay stanie się niedostępna. I tym sposobem osiągnięte zostało to, co w istocie daje 3D Secure, czyli dla realizacji transakcji trzeba wpisać „coś”, co użytkownik zna, by tę transakcję wykonać. Dodatkowo, co jakiś czas Android Pay prosi również o podanie hasła alternatywnego do telefonu, celem dodatkowego uwierzytelnienia klienta (dzieje się tak również w płatnościach „naziemnych”, czyli w sklepach)”
– napisał mi Krzysztof Kaźmierski, Area Product Owner w PayU, czyli firmie organizującej płatności Android Pay w Allegro. I sprawa jasna: Android Pay nie chce przegrywać w wyścigu o największą wygodę płatności w internecie, więc doszedl do wniosku, że wystarczy, iż klient zaloguje się do telefonu i już jest zautoryzowany, razem ze swoimi transakcjami. Kupowanie na jeden klik to dziś w internecie przedmiot zażartej konkurencji. Niedawno opcję kupowania z pominięciem kodu jednorazowego wprowadził dla e-transakcji BLIK, ma ją też PayPal. Takie czasy…
Czytaj też: O co chodzi z 3D Secure? W internecie płać zawsze w ten sposób!
