Redactie Dutchcowboys
De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Al een decennium hangt het perspectief van simpel betalen met je mobieltje boven de markt. Het is een geweldig idee maar als we dit gaan doen moet het ook wel veilig en goed gebeuren.
Inderdaad, je mobieltje heb je altijd bij je. Kortom, een praktische gedachte om ook betalen via je mobieltje te laten lopen via ‘swipen’, door je kaart langs een antenne te halen zoals we dit we dit ook met de OV chip doen..
Blogger Frans van der Reep heeft een aantal recente bronnen op een rijtje gezet om te kijken hoe het er mee staat. Aanleiding voor hem om dit te doen is dat recent ABN AMRO en ING de introductie van contactless payment in Nederland hebben aangekondigd. Banken moeten natuurlijk wel wat doen op dit gebied, anders worden ze voorbijgelopen door Microsoft, Apple, Google en telco’s en zijn ze straks niet meer nodig.
Wat is mobiel betalen?
Bij mobiel betalen gebruik je je smartphone om de betaal informatie bij de kassa achter te laten. Dat kan op dit moment op drie manieren.
– Via een QR code de betaalmogelijkheid van de winkel activeren. Via een pincode geef je toestemming. Dit is een soort digitale variant van machtigen. Starbucks is er het voorbeeld van.
– Via je smartphone naar de site van de bank via een ‘app’ en internetbankieren via je smartphone. Bij de meeste Nederlandse banken kan dit nu zij het dat er veel gedoe rond security mee is geweest
– Via ‘swipen’, net als bij de OV chipkaart je mobiel tegen een schermpje aanhouden en je geld is afgeschreven. (contactless payment)
Bij swipen speelt de NFC chip een cruciale rol. De techniek is in principe het zelfde als bij de OV chip kaart. Er bestaan verschillende, niet uitwisselbare, technische standaarden op dit moment voor swipen. 95% van de markt gebruikt de door credit card maatschappijen geïntroduceerde technologie. Overigens kan het nog wel een paar jaar duren voordat deze markt technologisch gestandaardiseerd is.
Ik richt me in dit artikel met name op swipen.
Business Logica voor de financiële instellingen
Waarom is contactless payment interessant voor banken en credit card maatschappijen? Uiteindelijk is het business model voor de banken en andere financiële instellingen dat ‘swipen’ betalen gemakkelijker maakt, en wellicht leuker, en dat dus het aantal transacties zal toenemen. Daar verdienen financiële instellingen aan. Wie die toeneming van de transacties zal betalen is me nog niet helemaal duidelijk maar het ziet er naar uit dat vooral de ‘winkeliers’ dit gaan doen in de visie van de bank.
Het is in ieder geval duidelijk dat door de introductie van dit nieuwe betalingskanaal geen bestaande kanalen kunnen worden uitgezet. Het aantal transacties zal dus in ieder geval fors omhoog moeten wil dit een rendabele zaak kunnen zijn voor financiële instellingen.
Mobiel is dus eigenlijk de voortzetting van het klassieke business model van banken waarin ze uiteindelijk verdienen door transacties en door ‘traffic’ in hun rekencentrum. Een soort levensduurverlenging zeg maar. Er is echter een verschil hier met eerdere technologische vernieuwingen. De eerdere technologische vernieuwingen vervingen oud geld en administratieve handelingen door een elektronisch systeem. Ook al laat de bijbehorende infrastructuur nog wel even op zich wachten, contactless payment lijkt toch eerder een verdringer voor bestaand elektronisch betalen en dus een kapitaalvernietiging.
Welk probleem lost mobiel betalen op?
Inspectie van de literatuur hierover laat zien dat deze vraag denk ik niet beantwoord is. Er hangen twee antwoorden in de lucht. Namelijk dat mobiel betalen gemakkelijker is dat swipen ‘fun’ is. De literatuur over dit onderwerp heeft tot dusver een overwegend ‘advertorial’ karakter. De koppelingen naar CRM en aanvullende customer profiling klinken logisch vanuit de ondernemers en banken maar zijn vaag. Bovendien zit je hier in juridisch schemergebied voor wat betreft privacy. Aan de andere kant, als je op google zoekt met de term ‘mobile payment’ kom je weinig tegen wat voor de gebruiker handig is.
E-security
Recente informatie laat zien dat met name de volledig op swiping ingerichte cards niet secure zijn, bijvoorbeeld doordat er technologie beschikbaar is om de NFC straling tot op 13 meter afstand op te pikken via passieve NFC interceptie. Lek wil dan zeggen dat je met een eenvoudige laptop met antenne wandelend door de trein bij de volgende gegevens kan
– NAW
– Card nummer en expiratiedatum
– Dump betalingshistorie
De ccv code ’vang’ je niet.
De vraag is natuurlijk of de incentive om mobieltjes te hacken hoog blijkt als mobiel betalen breed toegang vindt. ‘Hackito ergo sum’. Het merendeel van de smartphones is overigens niet beveiligd op dit moment. Geen spyware, geen firewalls.
Achterliggend probleem is dat in algemene zin de (formele) verantwoordelijkheid voor informatie overdracht via mobieltjes niet helder is. Die is dus ook niet helder ingeval van mobiel betalen. Wie is verantwoordelijk? De service provider? Degene die betaalt? Dit moet geregeld worden vooraf aan grootschalige implementatie.
Snappen we waar we mee bezig zijn?
Op basis van de informatie die ik daarover ken lijkt het erop alsof, vanuit het oogpunt van e-security, niet volledig uitgerijpte technologie ten behoeve van mobiel betalen naar de consument wordt gebracht. Tegelijkertijd lijkt het erop dat banken een beweging maken om hun klanten meer te laten betalen als ze digitaal geplunderd worden, bij voorbeeld via het hierboven genoemde ‘mobiele skimmen’. Ik vraag me wel eens af of de verantwoordelijke personen binnen financiële instellingen alsook de Autoriteit Financiële Markten, die toezicht houdt op onder meer de beschikbaarheid over een ordelijk betalingssysteem, dit soort dingen weten? Of gaan we ook hier wachten op de hack van ‘Brenno’?
Weten de houders van betaalpunten dat ze straks door mobiel betalen waarschijnlijk meer moeten gaan betalen aan banken?
Slotopmerkingen
We hebben een hoop gedonder in Europa door banken die ‘too big to fail’ zijn. Voor die afhankelijkheid betalen we een hoge prijs en gelukkig ontstaan er zo langzamerhand alternatieven als crowd funding en social banking. De vraag die ik hier stel is of we als samenleving behoefte aan een nieuwe ontwikkeling als contactless payment die ons opnieuw volledig afhankelijk maakt van financiële instellingen? Is dat niet tegen de maatschappelijke trend in? Is dit vanuit het oogpunt van risicobeheersing, een term goed bekend in bankkringen, op dit moment wenselijk?
Natuurlijk is ‘swipen’ aantrekkelijk. Maar laten we dat pas gaan doen als het echt kan. Waarom die die NFC niet eerst uitproberen op minder kritische omgevingen, bijvoorbeeld mobiele toegangskaarten. Op het moment dat persoonsgegevens en bankgegevens uitgewisseld worden dan moet de basis technologie stabiel en veilig zijn en moet geregeld zijn wie verantwoordelijk is voor wat. Dat is nog niet het geval.
Dit bericht van Frans verscheen eerder op 17 december in Computable.
Geraadpleegde bronnen:
– http://www.eetimes.com/electronics-news/4216021/NF…
– http://siliconangle.com/blog/2011/06/08/mobile-pay…
– http://www.paypass.com/performance_insights.html (maart 2011, 92 miljoen)
– http://tomnoyes.wordpress.com/tag/pos/page/2/
– http://tomnoyes.wordpress.com/2011/01/28/how-can-b…
– http://www.mybanktracker.com/bank-news/2012/04/24/…
– http://www.nfcworld.com/2012/04/19/315174/barclayc…
– http://nfctimes.com/report/south-korea-takes-globa…
– http://en.wikipedia.org/wiki/ExpressPay#ExpressPay
– http://en.wikipedia.org/wiki/PayPass#PayPass
– http://www.computable.nl/artikel/opinie/security/4…
– Hacking the NFC credit cards for fun and debit – http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless- payments-insecurity.pdf
– POC code – http://code.google.com/p/readnfccc/
– Video of talk – http://www.ustream.tv/recorded/21805507