Za spletno nakupovanje potrebujete pametni telefon

Spletni nakupi so v porastu

Trend rasti smo lahko opazovali že prej, pandemija pa ga je še dodatno spodbudila. Ali bo tako ostalo tudi v prihodnosti,  je težko napovedovati. Vseeno ne vidim razlogov, da bi prišlo do upada pri spletnem nakupovanju.

Nakupovanje na računalniku ali telefonu ima namreč pri marsikateri vrsti blaga precej prednosti, prav tako je tudi veliko trgovcev po sili razmer v zadnjem letu bistveno izboljšalo uporabniško izkušnjo.

Odslej pa morajo vsaj tisti s sedežem v Evropski uniji tudi bolje skrbeti tudi za varnost, kar je bila prej glavna in očitna prednost nakupovanja v klasičnih trgovinah.

Strah pred spletnimi nakupi

Kljub vsemu pa raziskave kažejo, da večina potrošnikov še vedno opravi le nekaj tovrstnih nakupov na leto, kar je verjetno povezano tudi s strahom pred spletnimi nakupi. Med drugim potrošnike skrbi, da morda ne bodo dobili naročenega in plačanega blaga ali da jim bo kdo ukradel podatke in pobral ves denar na (kreditni) kartici.

Prvo se dogaja zaradi lažnih trgovin, ki potencialne kupce mamijo predvsem z vabljivo nizkimi cenami. Vsakič, ko se vam zdijo oglaševane cene predobre, da bi bile lahko resnične, imate prav. Ponudbe niso resnične, ampak lažne, ustvarjene zgolj zato, da bi od lovcev na popuste izvlekle čim več denarja, blaga pa prevaranti niso imeli nikoli namena dostaviti.

Na spletu kupujte pri preverjenih ponudnikih  - tistih, ki predstavijo vse podatke o podjetju in ki niso vzniknili pred kratkim. V nadaljevanju pa preverite tudi več nasvetov o tem, kako se izogniti pastem spletnega nakupovanja.

Nov način spletnega nakupovanja

Za boj proti nepooblaščenim spletnim nakupom  je direktiva o plačilnih storitvah (PSD2) uvedla t. i. močno uporabniško zaščito (Strong Customer Authentication, SCA), ki so jo z letošnjim letom morali uvesti vsi spletni trgovci in banke znotraj EU (ter evropskega gospodarskega prostora).

Namen močne uporabniške zaščite je v tem, da v kar največji meri prepreči zlorabe, uporabnikom pa je vidna kot drugačen način potrjevanja nakupov.

Doslej tega sploh ni bilo in je bil nakup zaključen ob zadnjem kliku »potrdi« ali pa je bilo morda treba v spletno trgovino oz. na stran za vpisovanje podatkov o plačilni kartici vtipkati še enkratno potrditveno številko oz. kodo, ki je prišla po SMS-u.

Po novem kratka sporočila niso več ustrezen način  zaščite, temveč je treba svojo istovetnost (da je posameznik res tisti, ki kupuje) potrditi z dvema od naslednjih treh elementov:

• nečim, kar potrošnik je (biometrični podatki, denimo prstni odtis ali obraz),
• nečim, kar potrošnik ve (geslo, koda pin, odgovor na varnostno vprašanje) ali
• nečim, kar potrošnik ima (pametni telefon ali druga mobilna naprava).

Kako nov način spletnega nakupovanja deluje v praksi?

Vse skupaj je združeno v eno dejanje. Banke so se namreč odločile, da bodo potrjevanje izvedle z eno od svojih aplikacij, ki jih razvijajo za uporabo na pametnih telefonih.

Mobilna denarnica

Pri tistih bankah, ki ponujajo možnost fizičnega (brezstičnega) plačevanja s telefonom, je potrjevanje znotraj t. i. mobilne denarnice (npr. NLB Pay, DH Denarnik, Wave2Pay). To je aplikacija, v kateri so digitalizirane plačilne kartice in ki se »zbudi«, kadar uporabnik prisloni odklenjen telefon k terminalu POS.

Mobilna banka

Pri ostalih pa je za potrditev spletnih nakupov v uporabi »mobilna banka«, torej aplikacija, ki ponuja bančništvo na telefonu.

Postopek je tak:

• potrošnik vnese podatke o plačilnem sredstvu in klikne na gumb kupi,
• potem dobi obvestilo na svoj telefon,
• obvestilo mora  odkleniti – ali biometrično, torej z nečim, kar je, ali z geslom oz. PIN-om (z nečim, kar ve) – in
•  potem odpreti ter odkleniti še aplikacijo in v njej še enkrat pritisniti potrdi.

Telefon je pri tem element »nekaj, kar uporabnik ima.« Za celoten postopek je običajno potrebno pet minut časa. Če uporabnik v tem obdobju ne potrdi nakupa, ta propade.

Pri večini bank je za potrjevanje spletnih nakupov po novem nujna uporaba aplikacije za mobilni telefon, bodisi mobilne banke bodisi »mobilne denarnice«.

V teoriji bi se lahko dogajalo, da bi kupci prišli do tega zadnjega koraka, in se potem ali ustrašili potrjevanja ali pa ne bi imeli možnosti za tovrstno potrditev.

Več bank se je odločilo, da alternative ne bo ponudilo, pri nekaterih pa je mogoče namesto aplikacije uporabiti pametni čitalnik kartic, kombinacijo prijave na namenski spletni strani in enkratne kode v SMS-u ali kakšno drugo metodo. Vsekakor gre vse v smer skorajšnje nujnosti uporabe takšne ali drugačne bančne aplikacije na telefonu.

Korak k večji varnosti

Z vidika varnosti nakupov in tudi varnosti samih kartic je novi način korak naprej. Način z SMS-om ni bil napačen, vendar ga industrija vseeno ni imela za dovolj varnega, da bi ga z novo direktivo ohranila. Mogoče je potvoriti kartico SIM ali preusmeriti sporočilo, kar se sicer v Evropi skoraj ne dogaja, a povsem izključeno ni. Poleg tega na ukradenem telefonu ni težko prebrati kode, celo brez odklepanja.

Pri nakupih, ki niso zahtevali potrditve, seveda ni bilo težko nekomu s podatki o kartici (številki, trimestni varnostni kodi in pravilnem imenu lastnika) vsega tega vpisati in zaključiti postopka, blago pa usmeriti na svoj naslov.

Po novem za tatove ne bo tako enostavno. Četudi se kdo dokoplje do telefona, mora še vedno razbiti geslo oz. PIN ali pa ponarediti biometrične lastnosti, ki bi pretentale sistem za odklepanje. Prvo je zelo težko, drugo pa skoraj nemogoče. Kartico oz. njeno številko še vedno lahko poskušajo »uporabiti« kje drugje, toda spletni nakupi so bili doslej najbolj preprosta možnost za to, če niso poznali številke PIN za dvig gotovine na bankomatu.

Tako za odklepanje telefona kot za vstopanje v podatkovno občutljive aplikacije je priporočljivo imeti nastavljen prstni odtis ali prepoznavo obraza (na Applovih napravah), kot rezervno možnost odklepanja pa šestmestni PIN z neočitnim zaporedjem števil (nikakor 123456 ali rojstni datum).

Preberite več o tem, kako izbrati dobro geslo in zakaj je to tako pomembno.

Kdaj dodatno preverjanje ni nujno?

Še naprej ostajajo nekatere izjeme in trgovci, ki nove metode niso implementirali. Nekateri zato, ker preprosto ne izpolnjujejo zahtev direktive (in jih posledično lahko doleti kazen), drugi pa, ker imajo sedež zunaj EU.

Med izjeme pa sodijo manjša in ponavljajoča se plačila. V osnovi se zahteva za dodatno potrditev oz. preverjanje identitete sproži pri nakupih nad 30 evrov, zneski pod to vrednostjo, če jih ne bo za več kot 120 evrov na dan, pa ostajajo brez dodatne avtentikacije. Princip je enak, kot pri brezstičnem plačevanju s kartico, kjer prav tako ni treba vpisovati številke PIN, le da tam banke postavljajo različne limite (zneskov in števila plačil), pri katerih je PIN znova obvezen.

Izjema so tudi ponavljajoče se transakcije in sploh tiste, ki jih ne začne potrošnik, temveč ponudnik. Tako ne bo treba vedno znova potrjevati plačil različnih spletnih naročnin in še česa, kar bi bilo silno nepraktično. Postopek SCA bo stekel zgolj pri sklenitvi naročnine (to transakcijo sproži potrošnik), vse nadaljnje mesece pa ne več.

Uporabnik lahko določene trgovce tudi uvrsti na svoj seznam »zaupanja vrednih«, vendar se mi to ne zdi posebej dobra ideja. Kajti v tem primeru verjetno odpade tista varnost, ki jo direktiva poskuša vpeljati. Če bi nekdo pridobil podatke o kartici, bi potencialno lahko »nakupoval« ravno tam, kjer je zaščita izklopljena. Tudi s psihološkega vidika se je morda bolje izogniti izjemam, saj bi lahko dodatno potrjevanje v primeru impulzivnega (in kompulzivnega) nakupovanja ob ponovnem pregledu zneska to mogoče preprečilo.

Tudi za bančna nakazila v spletni ali mobilni banki direktiva ne predvideva tovrstnega potrjevanja. Razlika v primerjavi s spletnimi nakupi je v tem, da mora za uporabo spletne oz. mobilne banke komitent opraviti avtentikacijo že prej v fizični poslovalnici ali po video povezavi. Od takrat dalje pa je sam odgovoren za gesla in prijavne podatke. Še vedno pa večina bank vsaj za nakazila prejemnikom, ki jih komitent ni pred tem uvrstil na seznam, mogoče pa celo za vsa, zahteva potrditev. Običajno je to z enkratno kodo, ki jo ali banka pošlje po SMS-u ali pa jo uporabniku generira določena naprava oz. aplikacija.

Za spletne nakupe poskušajte izbirati tiste trgovce, ki so vpeljali močno uporabniško zaščito. Vsako zahtevo za potrditev spletnega nakupa pa natančno preglejte, da slučajno ne odobrite nečesa, kar je sprožil nekdo drug.

Pri starem načinu prav tako ostajajo nekateri ponudniki alternativnih plačilnih metod, denimo Paypal. Tovrstne storitve so sicer zanimive za tiste, ki nimajo kreditnih kartic, čeprav slednjih ni več težko pridobiti. Če vam je noče izdati matična banka, lahko odprete račun pri kateri od digitalnih bank (mBills, N26, Revolut, …) in si tam naročite kartico. Za vse te ponudnike prav tako velja zahteva za implementacijo močne uporabniške zaščite, zato bo potrjevanje nakupov potekalo povsem enako v njihovi aplikaciji.

Preverite tudi 5 nasvetov, kako ločiti legitimne spletne trgovce od lažnih in ne postati žrtev prevar.