Jak przebiega proces autoryzacji płatności kartą?

Jak przebiega proces autoryzacji płatności kartą?

iStock.com / AaronAmat

Autoryzacja płatności kartą zazwyczaj trwa kilka sekund. W tym krótkim czasie następuje wymiana danych pomiędzy kilkoma podmiotami zaangażowanymi w weryfikację i rozliczenie danej transakcji.

Zdarza się, że cały proces trwa nieco dłużej niż zazwyczaj. W powstrzymaniu narastającego w takich sytuacjach uczucia zniecierpliwienia pomocna może być wiedza o tym, jaką drogę przemierzają dane dokonywanej właśnie transakcji.

Jakie podmioty biorą udział w procesie płatności kartą?

W tej pozornie prostej operacji poza kupującym i sprzedawcą uczestniczą także:

Wydawca karty - podmiot, który wydał daną kartę. Najczęściej jest to bank.

Agent rozliczeniowy - firma zajmująca się rozliczaniem transakcji i dostarczaniem narzędzi niezbędnych do jej przeprowadzania (np. terminal). W Polsce agentami rozliczeniowymi są m.in.: Centrum Elektronicznych Usług Płatniczych eService Sp. z o. o., eCard S.A., First Data Polska S.A., PayU S.A. Listę agentów rozliczeniowych działających w naszym kraju można sprawdzić na stronie Komitetu Agentów Rozliczeniowych.

Organizacja płatnicza - instytucja udzielająca licencji na wydawanie kart. Takimi organizacjami są m.in.: Visa, Mastercard, Diners Club, American Express. Sieć organizacji płatniczej łączy ze sobą uczestników procesu płatności, umożliwiając działanie systemu autoryzacji i rozliczeń transakcji.

Sprzedawcę w kontekście przyjmowania płatności kartą określa się mianem akceptanta.

Jaką drogę przemierzają dane podczas płatności kartą?

Za przykład niech posłuży płatność z użyciem terminala na kwotę przekraczającą 50 zł. W przypadku płatności poniżej tej kwoty, wykonywanych zbliżeniowo proces może przebiegać trochę inaczej, ale o tym za moment.

Terminal i agent rozliczeniowy

Proces jest uruchamiany z chwilą włożenia (lub zbliżenia) karty do terminala. Urządzenie odbiera dane zapisane w pamięci karty - jej numer i datę ważności. Przy płatnościach bezstykowych karta przesyła dodatkowo kod dynamiczny służący do autoryzacji transakcji. Pobrane dane wraz z pozostałymi informacjami o transakcji terminal przekazuje w zaszyfrowanej postaci do agenta rozliczeniowego.

Metody weryfikacji kodu PIN karty

Jeżeli transakcja wymaga podania PIN-u, to ten także jest szyfrowany i wysłany do banku w celu weryfikacji (weryfikacja PIN online). Sprawdzenie poprawności kodu PIN może odbywać się także bez udziału banku. Wprowadzony kod jest wtedy porównywany z PIN-em zapisanym w pamięci karty (weryfikacja PIN offline).

Obecnie karty w standardzie EMV umożliwiają obie formy weryfikacji. To, która z nich zostanie wybrana, zależy od „konfiguracji danej karty”- o niej decyduje bank (wydawca karty) oraz od ustawień terminala.

Terminal odczytuje z karty listę CVM (Cardholder Verification Method), czyli listę dostępnych metod weryfikacji. Następnie wybiera z niej tę, która ma najwyższy priorytet na liście i zarazem jest możliwa do zastosowania przez sam terminal.

Agent rozliczeniowy przesyła otrzymane informacje specjalną siecią do właściwej organizacji płatniczej.

Organizacja płatnicza - jakie są jej zadania w procesie płatności?

Organizacja płatnicza weryfikuje prawidłowość transakcji na podstawie danych otrzymanych od agenta rozliczeniowego. Szczegóły transakcji mogą wskazywać np. na posłużenie się skradzioną kartą lub innego rodzaju oszustwo. Dla algorytmów alarmująca może być np. płatność kartą wykonywana z jakiegoś odległego kraju - innego niż ten, w którym zazwyczaj daną kartą wykonywane są transakcje. Organizacje płatnicze nieustannie pracują nad rozwiązaniami mającymi zapewnić bezpieczeństwo i prawidłowe rozliczanie transakcji. Testowane są także elementy sztucznej inteligencji umożliwiające pogłębioną analizę gromadzonych danych i tworzenie coraz skuteczniejszych mechanizmów weryfikujących transakcje.

W 2018 roku Visa uruchomiła dwa nowe centra danych zlokalizowane w Wielkiej Brytanii i Singapurze. Obecnie transakcje przetwarzane są w czterech centrach (2 pozostałe znajdują się na terenie USA). Zgodnie z informacjami publikowanymi przez Visa, sieć tej organizacji w ciągu jednej sekundy przetwarza ponad 65000 komunikatów dotyczących transakcji.

Bank wydawca karty

Po pozytywnej weryfikacji organizacja płatnicza przesyła dane do banku (wydawcy karty). Bank po odebraniu danych sprawdza dostępność środków potrzebnych do pokrycia danej transakcji. Jeżeli kwota transakcji nie przekracza stanu środków na koncie klienta lub dostępnego limitu kredytowego, dokonuje blokady środków na rachunku i przesyła zwrotnie kod autoryzacji.

Kod autoryzacji to ciąg zazwyczaj sześciu losowych cyfr wysyłanych do sprzedawcy przez bank (wydawcę karty). Kod jest drukowany na potwierdzeniu transakcji. Dla sprzedawcy (akceptanta) stanowi dowód, że bank daną transakcję zaakceptował.

Informacja o autoryzacji transakcji biegnie teraz w przeciwnym kierunku - od banku przez organizację płatniczą i agenta rozliczeniowego do akceptanta. Jeżeli wszystko przebiegło bez zakłóceń, terminal powinien wydrukować potwierdzenie transakcji.

przebieg płatności kartąMimo, że na tym etapie można już wyjść ze sklepu z zakupami to proces płatności wciąż nie jest zakończony. Transakcja musi zostać jeszcze rozliczona pomiędzy bankami, agentem rozliczeniowym i organizacją płatniczą. To właśnie na tym etapie na naszych kontach czasami dzieje się magia - np. po zdjęciu blokady środki potrafią wrócić na nasze konto.

Przeczytaj także: Do czego służy kod CVV2 i jak się z nim obchodzić?

Autoryzacja transakcji offline

Wspomniałem wcześniej, że w przypadku płatności wykonywanych bezstykowo, na kwoty poniżej 50 zł mogą istnieć różnice w przebiegu autoryzacji. W zależności od zapisów na samej karcie i ustawień terminala możemy mieć do czynienia z tzw. autoryzacją offline. W takich wypadkach proces odbywa się bez angażowania systemu bankowego. Terminal nie wysyła zapytania autoryzacyjnego, a zatwierdzenie transakcji jest przeprowadzane na podstawie danych zapisanych w pamięci (mikroprocesorze) karty.

Niewątpliwą zaletą tej metody jest skrócony czas oczekiwania na akceptację płatności. Odpadają tu także wszelkie problemy z nawiązywaniem połączenia przez terminal.

Istnieją też wady takiej skróconej wersji autoryzacji. Nie występuje w niej blokada środków na koncie na poczet późniejszego rozliczenia. Kwota wynikająca z transakcji zostaje pobrana czasami dopiero po kilku dniach. Brak blokady i możliwość dysponowania wydanymi pieniędzmi trochę utrudnia kontrolę nad stanem konta. Może się zdarzyć, że w dniu rozliczenia transakcji wartość dostępnych środków na koncie nie wystarczy na jej pokrycie. To z kolei może wygenerować kosztowny debet.

Autoryzacja offline jest obecnie rzadko spotykana. Ponadto, część banków daje także możliwość jej wyłączenia.

Autoryzacja transakcji offline a weryfikacja kodu PIN offline

Warto wspomnieć, że autoryzacja offline działa niezależnie od opisanej wcześniej weryfikacji offline kodu PIN. Wyłączenie możliwości autoryzacji transakcji bez udziału banku nie jest równoznaczne z wyłączeniem metody PIN offline.

Nowe limity kwotowe dla transakcji zbliżeniowych bez podawania PIN

Zarówno Mastercard, jak i Visa uzyskały zgodę od Narodowego Banku Polskiego na podniesienie limitu płatności zbliżeniowych bez podawania PIN do 100 zł. Zakładano, że nowy próg zacznie obowiązywać od drugiej połowy 2019 roku. Konieczność wprowadzania licznych zmian w systemach bankowych wynikających z dyrektywy PSD2 spowodowała, że na podniesienie tego limitu jeszcze chwilę poczekamy.

Obecny limit na poziomie 50 zł został ustalony w 2007 roku, czyli w czasie debiutu kart zbliżeniowych w naszym kraju. Od tego czasu wiele się zmieniło w naszych preferencjach dotyczących sposobów płatności - zbliżeniowo płacimy częściej, a średnia kwota transakcji wykonywanej tym sposobem przekracza już 50 zł. Zwyczajnie, wygodniej jest nam kartę przyłożyć, niż umieścić w terminalu. Poza tym ani na moment nie tracimy karty z rąk.

PSD2 a limity transakcji zbliżeniowych bez podawania PIN

Dyrektywa PSD2 wprowadziła konieczność autoryzowania także niektórych transakcji na kwoty poniżej 50 zł. Podanie kodu PIN stało się konieczne przy co szóstej transakcji lub kiedy łączna wartość kolejnych transakcji bez podawania PIN przekroczy 150 euro. Licznik zeruje się przy każdej transakcji wykonanej z wprowadzeniem kodu PIN.

Szybko, wygodnie i bezpiecznie

W ciągu dekady w sposobach płatności dokonała się rewolucja. Zdążyliśmy się oswoić z kartami zbliżeniowymi, których plastikowe wersje powoli znikają z naszych portfeli na rzecz ich cyfrowych postaci, zapisywanych w portfelach elektronicznych.

Podmioty mające wpływ na kształtowanie rynku usług płatniczych starają się nadążyć za dynamiczne zmieniającymi się preferencjami odnośnie form, w jakich rozliczamy się w sieci i w realu.

W ślad za wygodą i szybkością płatności muszą podążać także coraz sprawniejsze rozwiązania w zakresie bezpieczeństwa transakcji. Wiele istotnych zmian na poziomie legislacyjnym wprowadziła dyrektywa PSD2. Jej zapisy umożliwiają tworzenie nowych rodzajów usług płatniczych oraz stawiają wymagania w zakresie uwierzytelniania korzystających z nich użytkowników.

Na płaszczyźnie technicznej coraz większe znaczenie odgrywa tokenizacja kart płatniczych, dzięki której możemy realizować płatności kartą, bez konieczności przekazywania jej danych sprzedawcom.

Opisany wyżej przykład pokazuje, jak wiele mechanizmów jest aktywowanych po przyłożeniu kawałka plastiku do terminala. W ciągu kilku sekund następuje sprawdzenie autentyczności karty, weryfikacja danych transakcji pod kątem bezpieczeństwa oraz potwierdzenie dostępności środków.