Sistemes de pagament per al comerç electrònic PDF

Sistemes de pagament per al comerç electrònic PID_00289995 Antoni Martínez Ballesté Temps mínim de dedicació recomanat: 4 hores © FUOC PID_00289995 Sistemes de pagament per al comerç electrònic Antoni Martínez Ballesté Enginyer en Informàtica per la Uni- versitat Rovira i Virgili, i doctor en Enginyeria Telemàtica per la Uni- versitat Politècnica de Catalunya. Professor agregat del Departament d’Enginyeria Informàtica i Matemà- tiques de la Universitat Rovira i Vir- gili, i professor col·laborador de la UOC. La seva activitat de recerca se centra en la seguretat i privacitat en les tecnologies de la informació i les comunicacions. Darrerament, es de- dica als serveis que ofereix la tecno- logia (internet de les coses, ciènci- es de la computació, seguretat de la informació) en la salut i en la millora de la qualitat de vida de les perso- nes. Ha participat en més de vuitan- ta publicacions científiques i en un bon nombre de projectes de recer- ca i transferència de tecnologia, tant nacionals com europeus. La revisió d'aquest recurs d'aprenentatge UOC ha estat coordinada per la professora: Inma Rodríguez-Ardura Segona edició: setembre 2022 © d’aquesta edició, Fundació Universitat Oberta de Catalunya (FUOC) Av. Tibidabo, 39-43, 08035 Barcelona Autoria: Antoni Martínez Ballesté Producció: FUOC Tots els drets reservats Cap part d'aquesta publicació, incloent-hi el disseny general i la coberta, no pot ser copiada, reproduïda, emmagatzemada o transmesa de cap manera ni per cap mitjà, tant si és elèctric com mecànic, òptic, de gravació, de fotocòpia o per altres mètodes, sense l'autorització prèvia per escrit del titular dels drets. © FUOC PID_00289995 Sistemes de pagament per al comerç electrònic Índex Introducció.................................................................................................. 5 Objectius....................................................................................................... 7 1. Fonaments dels sistemes dels pagaments electrònics............... 9 1.1. Característiques dels pagaments electrònics............................... 9 1.2. La seguretat en els pagaments electrònics.................................. 11 1.2.1. Seguretat per al venedor................................................ 12 1.2.2. Seguretat per al comprador........................................... 12 1.3. Els costos del sistema de pagament............................................ 14 2. Pagaments per mitjà d’entitat bancària..................................... 16 2.1. Pagaments amb targeta bancària................................................ 16 2.1.1. Passarel·les d’arquitectura lineal.................................... 17 2.1.2. Passarel·les d’arquitectura triangular............................. 19 2.1.3. Comprovar la identitat del comprador......................... 20 2.2. Pagaments per transferència bancària........................................ 23 2.2.1. Pagament per transferència bancària convencional...... 23 2.2.2. Pagament per mitjà de banca electrònica..................... 23 3. Plataformes de pagaments entre usuaris.................................... 26 3.1. PayPal.......................................................................................... 26 3.2. Bizum........................................................................................... 27 4. Altres formes de pagament centralitzades................................. 29 4.1. Bossa amb saldo.......................................................................... 29 4.2. Pagaments a través de tercers..................................................... 31 4.3. Pagaments amb SMS sobretarifats.............................................. 32 5. Pagaments amb criptomonedes..................................................... 35 5.1. Tecnologia de cadena de blocs................................................... 37 5.2. Utilització de les criptomonedes................................................ 39 Resum............................................................................................................ 41 Activitats...................................................................................................... 43 Glossari......................................................................................................... 44 Bibliografia................................................................................................. 45 © FUOC PID_00289995 5 Sistemes de pagament per al comerç electrònic Introducció En el comerç electrònic els sistemes de pagament són una peça clau donat que permeten l’intercanvi efectiu de diners per productes, ja siguin aquests idees, béns o serveis. Tot i que existeixen diferents sistemes de pagament (monedes, targetes bancàries, xecs bancaris, etc.) no tots es poden utilitzar, o són igual- ment còmodes d’utilitzar, en transaccions a través de la xarxa. És cert que po- dríem pagar una compra a distància tot enviant un sobre postal amb monedes i bitllets amb l’import de la comanda, però això no sembla una mesura molt segura ni eficaç. A més, els models de negoci basats en la web han propiciat la consolidació dels pagaments electrònics. En aquest mòdul didàctic ens ocuparem dels sistemes de pagament per al co- merç electrònic. I per sistemes de pagament de comerç electrònic ens refe- rim a aquells mecanismes de transferència de diners que s’utilitzen per realit- zar els pagaments en les botigues en línia i en altres escenaris específics de l’ecosistema digital. Una de les característiques més importants que cal tenir en compte en els sis- temes de pagament electrònic és la seguretat. Quan anem a una botiga con- vencional a comprar tenim perfectament assumits els sistemes amb què es po- den pagar els béns i serveis: Podem donar unes monedes a canvi d’un diari o un cafè. Podem usar la targeta de crèdit en un restaurant, i hi introduïm un codi de validació confiant que ningú ens estarà espiant. Podem estendre un xec al venedor d’un concessionari de cotxes. Ens poden passar pel banc el rebut del telèfon mòbil. Es tracta de sistemes amb els quals confiem, malgrat conèixer que hi ha casos de falsificacions de bitllets o bé casos de duplicacions de targetes bancàries. De fet, de ben segur que mai ens aturem a comprovar si els bitllets que ens donen com a canvi o en el caixer automàtic són autèntics. Es podria dir que estem acostumats a confiar en els sistemes convencionals de pagament. Malauradament, aquesta confiança per se no sembla natural en les transaccions i compres electròniques, potser perquè no hi ha un contacte físic o visual entre el venedor i el client. Per part del venedor apareixen preguntes del tipus: com podem estar tranquils que els diners que ens han pagat a través d’internet ens © FUOC PID_00289995 6 Sistemes de pagament per al comerç electrònic arribaran? I per part del comprador, la pregunta és en l’altre sentit: com puc estar segur que no em carregaran més diners del compte en la targeta? Podran fer un duplicat de la targeta per pagar compres a l’altra punta de món? En el present mòdul didàctic anirem veient diferents tipus de sistemes que poden ser útils per a les empreses per efectuar pagaments en botigues en línia (o cobraments, segons el punt de vista del venedor). També analitzarem els avantatges i inconvenients que suposen cadascun dels mecanismes presentats, tot fent especial atenció en les característiques que fan referència a la seguretat. © FUOC PID_00289995 7 Sistemes de pagament per al comerç electrònic Objectius Els objectius que s’han d’assolir amb l’estudi d’aquest mòdul didàctic són els següents: 1. Entendre la repercussió que té, tant per al comprador com per al venedor, la seguretat dels sistemes de pagament. 2. Comprendre com funcionen els pagaments per mitjà de targeta bancària i amb quins mecanismes de seguretat contribueixen al comerç electrònic. 3. Conèixer els sistemes de pagament entre usuaris. 4. Comprendre els fonaments de les criptomonedes i el seu ús. © FUOC PID_00289995 9 Sistemes de pagament per al comerç electrònic 1. Fonaments dels sistemes dels pagaments electrònics En aquest primer apartat analitzarem les propietats i característiques dels sis- temes de pagament per al comerç electrònic. Els sistemes de pagament per al comerç electrònic, o pagaments elec- trònics, permeten fer pagaments a través d’internet amb el suport, si s’escau, d’altres elements, com ara una targeta bancària o el telèfon mò- bil, de manera que no es requereix el contacte real entre venedor i com- prador. Els pagaments electrònics se solen fer des del navegador, com un pas natural en Web el procés de compra. També es poden fer des d’aplicacions mòbils específiques Al web de l’Associació per a per fer pagaments. la Investigació dels Mitjans de Comunicació (més coneguda com AIMC) hi podeu trobar els Fent un primer cop d’ull als sistemes de pagament usats avui dia en botigues resultats de les Encuestas a na- vegantes que es duen a terme en línia, veiem que hi ha tres grans grups: amb periodicitat gairebé anual (http://www.aimc.es). Aques- tes enquestes aporten infor- 1) Hi ha sistemes de pagament que es basen en l’ús de la targeta bancària, mació sobre l’ús que es fa dels sistemes de pagament en les i que permeten efectuar pagaments com si la botiga en línia es tractés d’un compres per internet. establiment físic convencional. Aquests sistemes són els utilitzats en la gran majoria de les operacions de compra per internet. Els anomenarem sistemes Monedes virtuals de pagament amb targeta. Les monedes virtuals són siste- mes de pagament que reem- 2) Hi ha eines que faciliten el pagament i la recepció d’imports relativament placen les monedes físiques per informació digital. menors entre persones. Els anomenarem sistemes de transaccions bancàries instantànies entre particulars. 3) Hi ha sistemes de monedes virtuals, la implementació i l’ús de les quals són encara un pèl lluny de ser habituals. Es tracta de monedes virtuals imple- mentades per mitjà de tècniques criptogràfiques robustes, amb les quals es do- ta de seguretat tot el sistema. Seria el cas, per exemple, de les criptomonedes. Tot seguit veurem les propietats i característiques generals dels sistemes de pagament electrònic. 1.1. Característiques dels pagaments electrònics Vegem algunes característiques bàsiques dels diners convencionals que també s’han de reflectir en els sistemes de pagament electrònic. De les següents ca- racterístiques en dependrà en part l’èxit del sistema de pagaments. © FUOC PID_00289995 10 Sistemes de pagament per al comerç electrònic Reconeixement. Cal que els sistemes de pagament siguin reconeguts per una comunitat prou gran per poder ser útils. Versatilitat. La versatilitat de pagaments ha de ser tinguda en compte si es vol popularitzar el sistema de pagaments. Així doncs, no hi hauria d’haver problema per adquirir, fent servir un mateix sistema, un producte de 100 euros o un de tan sols 10 cèntims d’euro. Facilitat d’ús. Convé que el sistema sigui fàcil d’usar perquè cal tenir pre- sent que bona part de les botigues en línia s’adrecen al gran públic i no només als experts en informàtica. És impensable que, per fer servir un sis- tema de pagament, l’usuari hagi de passar per un llarg i complicat sistema d’instal·lació. Facilitat d’implantació. El fet que el sistema es basi en elements que l’usuari ja coneix, o fins i tot disposa, és essencial per una ràpida i fàcil implantació. Vet aquí l’èxit dels sistemes amb targeta bancària o amb te- lèfon mòbil. Seguretat. Finalment, però molt important, arribem al tema de la segure- tat. Una gran part de l’èxit del sistema vindrà donada per la seva seguretat, que de retruc farà que els consumidors i les empreses no es mirin amb recel els pagaments a través d’internet. Un sistema que sigui fàcilment víctima d’atacs informàtics no té garantit l’ús per massa temps. Una propietat addicional dels sistemes de pagament fa referència a l’anonimat Un exemple de pagament del comprador i quin grau d’anonimat es pot permetre. Així, l’anonimat pot anònim... ser revocable o no revocable en funció de si la identitat del comprador es pot... és el que fem amb bitllets i obtenir per algun mitjà (no directament del pagament) o si això és del tot monedes i un contraexemple és el que realitzem amb un ta- impossible. ló bancari. © FUOC PID_00289995 11 Sistemes de pagament per al comerç electrònic En el cas de sistemes de pagament anònims, també es pot tenir en compte Exemple l’enllaçabilitat dels pagaments. Aquesta propietat fa referència al fet que, mal- Un exemple d’enllaçabilitat se- grat que no es pugui connectar la identitat del comprador amb el pagament, rien els pagaments fets amb sí que es poden identificar tots els pagaments que ha realitzat un mateix com- targeta bancària. En aquests casos es poden conèixer tots prador. els pagaments que s’han realit- zat amb un mateix número de targeta però no així la identitat del pagador –a menys que es 1.2. La seguretat en els pagaments electrònics conegui qui és el propietari de la targeta. Una de les propietats més importants de les que hem enumerat en l’apartat Generar confiança anterior és la seguretat. En la implantació d’una solució de comerç electrònic, Sovint és més important te- cal tenir en compte aquest element i utilitzar sistemes de pagament que ge- nir un sistema de pagament nerin confiança al comprador. D’aquesta manera s’evita reduir el nombre po- menys segur tècnicament però que generi més confiança que tencial de clients que deixaran de comprar per manca de confiança en el siste- un altre menys conegut i que ofereixi una seguretat més ele- ma de pagament. Aquest grau de confiança estarà relacionat amb la magnitud vada. del pagament: en comprar una aplicació per al dispositiu mòbil i d’un preu molt econòmic, no tindrem tants miraments com quan comprem un electro- domèstic en una botiga en línia d’un país estranger. En una compravenda hi ha dos actors bàsics: el comprador, que actuarà com a pagador, i el venedor, que actuarà com a cobrador. En un supòsit estàndard hi hauria, a més, dues figures que els recolzen: el banc del comprador i el banc del venedor, els quals a la pràctica poden tractar-se de la mateixa entitat. També, i essencialment important en el món de la seguretat informàtica, hi sol haver una tercera part de confiança (per exemple, una autoritat que certifica la validesa del material criptogràfic utilitzat en el sistema). La comunicació entre bancs es realitza de forma segura a través de xarxes tan- cades, d’alta disponibilitat i amb detecció d’intrusions. Ara bé, la comuni- cació entre comprador i venedor es fa a través d’un canal potencialment inse- gur com és internet: una xarxa telemàtica pública on l’accés és lliure. © FUOC PID_00289995 12 Sistemes de pagament per al comerç electrònic Seguretat en el comerç Els sistemes de pagament per a comerç electrònic han d’emprar tècni- electrònic ques informàtiques i criptogràfiques per garantir la seguretat dels par- Recordeu que les tècniques ticipants en la compravenda. criptogràfiques s’estudien en el mòdul sobre seguretat en el comerç electrònic. 1.2.1. Seguretat per al venedor El venedor vol estar segur, principalment, que cobrarà l’import estipulat en la transacció. Aquest fet es concreta en les propietats que tot seguit detallem: Validesa del pagament. El venedor ha d’estar segur que el pagament que rep del client és vàlid, és a dir, que el client té liquiditat, i que el pagament no és fruit ni de cap manipulació de la informació ni d’un ús fraudulent del sistema de pagament. No repudi del pagament. És desitjable garantir que el comprador no pu- gui dir mai que no ha efectuat un pagament del qual se’n té constància. Aquesta propietat és tècnicament complexa d’aconseguir. Com veurem més endavant, hi ha mecanismes per maximitzar l’autentificació del pro- pietari de la targeta bancària. Tanmateix, no tots els sistemes de pagament tenen aquesta seguretat afegida. Per exemple, per criteris d’eficiència, el pagament amb targeta en un peatge d’autopista no implica l’autentificació per mitjà del PIN. Així doncs, la resolució de conflictes en aquests escena- ris és complexa i els fraus generalment acaben essent tractats per mitjà de convenis i assegurances. Assegurar la identitat del comprador. De cara evitar possibles usos des- honestos del mitjà de pagament, cal comprovar la identitat del compra- dor. Per exemple, el fet que les dades que s’enviïn d’una targeta bancària siguin correctes no implica que el comprador sigui realment el titular de la targeta. Més endavant, quan parlem de pagaments per mitjà de targeta bancària, aprofundirem en aquest aspecte. 1.2.2. Seguretat per al comprador La seguretat des del punt de vista del comprador se centra bàsicament en dos aspectes: Assegurar la identitat del venedor. El comprador ha de tenir un meca- nisme pel qual pugui verificar la identitat del venedor, que al capdavall és qui cobra. Tècnicament, aquest procés es coneix com autentificació o autenticació del venedor. © FUOC PID_00289995 13 Sistemes de pagament per al comerç electrònic Assegurar el control de les dades que té el venedor. El comprador ha d’estar segur que ni el venedor (ni cap tercer) farà un ús indegut de les dades que ha utilitzat per fer el pagament. a) Assegurar la identitat del venedor En una compra en una botiga en línia identifiquem el venedor amb l’establiment virtual i, en última instància, amb el lloc web o l’app on es du- en a terme les comandes i els pagaments. Per tant, el procés d’autentificar el venedor es concreta en comprovar que el lloc web o l’app on el comprador es disposa a entrar les dades és realment la pàgina web de l’establiment. Tin- guem present, però, que no n’hi haurà prou amb què la URL (és a dir l’adreça “http://...”) incorpori el nom de l’establiment. Per assegurar la identitat del venedor s’utilitzen mecanismes de criptografia TLS de clau pública i certificació de manera que la comunicació es fa a través de Al mòdul sobre seguretat en el protocols segurs per a aplicacions web. comerç electrònic s’estudien amb deteniment els proto- cols de comunicacions segurs. L’autoritat de certificació sol ser àmpliament reconeguda i en aquests casos Aquests canals web segurs s’estableixen amb protocols el navegador ja inclou de sèrie els mecanismes per comprovar la validesa de com ara TLS (transport layer se- curity) per al xifrat de la comu- la identitat. Ara bé, si l’autoritat de certificació no és reconeguda globalment, nicació. ens trobarem que el navegador preguntarà a l’usuari o consumidor si confia en l’autoritat de certificació. Per al venedor té un cost comprar un certificat a una entitat certificadora amb el qual assegurar la seva identitat davant els compradors. Caldrà tenir en compte aquest cost en la fase d’implantació de la botiga en línia. © FUOC PID_00289995 14 Sistemes de pagament per al comerç electrònic Tenir cura de comprovar la validesa del venedor permet als usuaris i potencials PIN clients evitar els atacs de phishing. Aquests atacs consisteixen a crear pàgines El PIN (en anglès personal web que imiten llocs web comercials o bancaris i fer que els usuaris dels webs identification number, número legítims hi introdueixin les seves dades personals, com ara el número de la d’identificació personal) és un codi numèric, habitualment de targeta bancària i el PIN associat. D’aquesta manera els atacants poden obtenir quatre xifres, que serveix per confirmar la identitat dels usu- aquestes dades i utilitzar-les més tard de manera fraudulenta. aris de targetes bancàries, mò- bils, etc. b) Assegurar el control de les dades que té el venedor La segona propietat de seguretat per al comprador, la que assegura el control de les seves dades, és més difícil d’obtenir. Per exemple, si introduïm la infor- mació de la nostra targeta bancària en el lloc web d’una botiga en línia, no tenim garanties que els operadors de la botiga faran un bon ús d’aquestes da- des: hem de confiar que es comportaran honestament. De fet, hi ha botigues que gestionen elles mateixes les dades de les targetes bancàries, per exemple, amb l’objectiu d’evitar que el client hagi d’introduir de nou les dades en futures compres. Les botigues (i, per extensió, qualsevol empresa o organització) que desin dades sobre mitjans de pagament ha de complir amb unes normatives força estrictes i que estan relacionades amb els controls i les mesures de seguretat informàtica que s’han d’aplicar sobre aques- tes dades. Estàndard de seguretat de dades per a targetes de pagament El PCI-DSS, de l’anglès payment card industry data security standard, és un conjunt de guies amb indicacions que han de complir les organitzacions de tot tipus (i, per tant, les em- preses i botigues) que emmagatzemin i gestionin dades sobre targetes bancàries. Aquestes guies estableixen una sèrie de controls relacionats amb la seguretat de la xarxa de dades, el garantiment de les propietats de seguretat de la informació (per exemple, desar les da- des de forma xifrada per garantir la confidencialitat), l’execució de proves d’auditoria als seus sistemes, etc. L’incompliment d’aquestes indicacions pot derivar en sancions i, fins i tot, en la pèrdua del permís per fer operacions amb les targetes bancàries. 1.3. Els costos del sistema de pagament Un dels aspectes que cal tenir en compte a l’hora d’implantar un sistema de pagament, més enllà de les característiques genèriques i de seguretat, són els costos que pot suposar la seva utilització. Podem trobar, en general, dos tipus de costos: els costos d’implantació, els quals suposaran una despesa inicial o periòdica fixa per l’accés al sistema de pagament, i els costos –fixos o en forma de comissions sobre les vendes– per l’ús del sistema de pagament. Els costos d’implantació comprenen els costos del servidor on s’allotja el lloc web de la botiga en línia, els costos del software de la botiga (per exemple, els costos del software del web o de l’ús d’un gestor de continguts per a botigues), així com la compra d’un certificat a una autoritat certificadora àmpliament coneguda. Aquest certificat permet que els compradors es connectin al nostre © FUOC PID_00289995 15 Sistemes de pagament per al comerç electrònic servei de forma segura. D’aquesta manera, el client entrarà a l’establiment i el navegador reconeixerà que el venedor és qui diu que és. A més, es garantirà la confidencialitat de les dades que es transmetin durant el procés de compra. Un certificat ha de ser emès per una autoritat reconeguda Un certificat menys reconegut, o fins i tot el que es coneix com a certificat autosignat, implicaria que al client li aparegués un avís de seguretat. Això podria fer que el client abandonés la compra a l’establiment perquè podria creure que no té prou garanties de seguretat. Per la seva banda, l’entitat que expedeixi el certificat al venedor haurà d’assegurar-se que es tracta d’una botiga en línia honesta. Això fa que l’emissió del certificat pugui suposar una despesa considerable. A més a més, els venedors solen incórrer en costos per l’ús del sistema de pagament. Aquí cal tenir present que l’establiment sovint ha de pagar una tarifa per fer servir el sistema amb el qual es fan els pagaments –per exemple, una quantitat fixa cada mes sempre que els imports cobrats no superin un llindar determinat. Addicionalment, hi pot haver el pagament d’una comissió per cada pagament efectuat. Cada entitat bancària té un model diferent, tot i que acostumen a considerar el volum de vendes de l’establiment. General- ment, com més volum de vendes més baix és el percentatge que s’aplica en forma de comissió. En els canals de distribució tradicionals, algunes botigues només permeten l’ús de targeta bancària per imports superiors a una determinada quantitat. En canvi, en moltes botigues en línia es poden fer pagaments amb targeta per valors molt petits (per exemple, per pagar una cançó en format electrònic). © FUOC PID_00289995 16 Sistemes de pagament per al comerç electrònic 2. Pagaments per mitjà d’entitat bancària La gran majoria de transaccions comercials que es duen a terme a través d’internet estan basades en l’ús d’una targeta bancària o en la intervenció di- recta dels bancs. SET - Secure electronic En els pagaments per mitjà d’entitat bancària hi intervenen la figura del transactions banc del comprador, del banc del venedor o, de manera més habitual, Aquesta iniciativa fou impulsa- una targeta bancària del comprador. da a mitjans dels anys noranta per Visa i MasterCard, amb el su port tecnològic d’empreses com Microsoft, IBM i Netsca- En algunes botigues en línia també s’admet el pagament per transferència ban- pe. Tot i haver-se dotat d’un protocol segur per fer transac- cària, per càrrec al compte del comprador (és a dir, el venedor carrega l’import cions econòmiques electròni- ques no va tenir una bona aco- de la compra al compte bancari del comprador) o contra reemborsament. llida entre els potencials usua- ris. 2.1. Pagaments amb targeta bancària La gran majoria de potencials compradors de les botigues en línia disposen d’una targeta bancària. Per tant, el natural és que una botiga en línia perme- ti realitzar pagaments a través d’aquest mitjà. Només li caldrà utilitzar una passarel·la de pagament. Les entitats bancàries i agrupacions financeres ofereixen serveis de passarel·la de pagament o TPV virtual per tal que les botigues en línia puguin efectuar cobraments de forma automatitzada. El venedor ha de ser client de l’entitat bancària que li facilita l’accés a l’aplicació. TPV i datàfons Els TPV, o terminals de punts de venda, són aquells elements de maquinari TPV i programari que fan servir els comerços per gestionar el cobrament de les Les sigles TPV corresponen a vendes. Així doncs, engloben el programari que permet afegir els preus a la terminal punt de venda. comanda del comprador, calcular el total, acceptar vals de descompte, obrir el calaix de monedes i bitllets, etc. El datàfon és el dispositiu que permet efectuar pagaments per mitjà de targetes bancàries. A les passarel·les de pagament se les coneix com a TPV virtuals tot i que, potser, les hauríem d’anomenar datàfons virtuals. De fet, una botiga virtual podria processar manualment els pagaments per mitjà de targeta bancària: els compradors emplenarien la informació del pa- gament en un formulari sobre una connexió web segura, amb https, i el ve- © FUOC PID_00289995 17 Sistemes de pagament per al comerç electrònic nedor utilitzaria un datàfon convencional per anar introduint els pagaments. Tanmateix, aquesta opció estaria relegada a casos excepcionals i a botigues que processen un petit nombre de comandes. A mesura que els pagaments per targeta a internet es van anar popularitzant, les entitats bancàries van començar a oferir eines als venedors que permetien automatitzar els pagaments i la seva gestió. Quan es vol automatitzar el pro- cés de recollida de pagaments mitjançant targeta de crèdit, l’alternativa més adient és utilitzar un TPV virtual o passarel·la de pagament. Xarxes interbancàries La passarel·la de pagament, o TPV virtual, és una aplicació que s’executa en un servidor propietat d’un banc, d’una xarxa interbancària o bé Els caixers automàtics i centres de dades dels bancs es con- d’una entitat financera intermediària. necten a una xarxa interbancà- ria: una xarxa de comunicaci- ons privada i segura on hi ac- cedeixen diverses entitats ban- càries. Actualment al mercat La botiga en línia que necessita un TPV virtual ha de fer front a uns costos, els espanyol operen ServiRed, Te- quals dependran de l’acord amb què arribi amb el proveïdor de servei, el qual lebanco 4B i Euro6000. habitualment és una entitat bancària. Aquests costos poden consistir en una tarifa mensual o en un percentatge que s’aplica sobre l’import de cadascuna Comissions de pagaments de les transaccions. amb targeta bancària Les operacions amb targeta Pagaments de petit valor amb targeta bancària bancària tenen associades co- missions que varien en funció Sobretot en els casos de la TPV virtual, la botiga en línia pot arribar a pactar les comissions de si l’operació es realitza en- amb l’entitat bancària, sempre que garanteixi certs volums mínims de facturació. Això ha tre comptes del mateix banc, fet possible que determinades botigues en línia (que comercialitzen premsa, aplicacions, entre comptes de bancs de la contingut multimèdia, etc.) puguin pagar petites quantitats per vendes unitàries de baix mateixa xarxa interbancària o import (com ara al voltant de l’euro), la qual cosa no afecta la rendibilitat del negoci. entre bancs de diferents xarxes interbancàries –també fins i tot a nivell internacional. Les co- En funció de les parts que intervenen en l’operació de pagament per mitjà de missions d’operacions interna- cionals són les més elevades. targeta, hi ha diferents models de passarel·la. 2.1.1. Passarel·les d’arquitectura lineal Les passarel·les d’arquitectura lineal són el model més senzill i més antic de sistemes de pagament amb targeta bancària. En el procés hi intervé el venedor i el banc del comprador. El procés és el següent: 1) El client omple un formulari amb les dades necessàries per al pagament CVC (nom del titular, número de la targeta, data de caducitat i codi CVC). Aquestes Les sigles CVC es corresponen dades es xifren i s’envien per mitjà d’un protocol web segur. amb card verification code, co- di de verificació de la targeta, que es troba imprès al dors. 2) L’enviament del formulari fa arribar les dades al venedor que, automàtica- ment, les envia a l’aplicació remota bancària. Aquest enviament es fa per mitjà d’una connexió segura. © FUOC PID_00289995 18 Sistemes de pagament per al comerç electrònic 3) El banc comprova la validesa del pagament, és a dir, si es tracta d’una targeta vàlida i, si escau, si hi ha fons o crèdit suficient. Quan el banc que gestiona el TPV és diferent del banc del comprador, es consulta el banc del comprador. 4) Si el pagament és vàlid, el lloc web del venedor rep un avís i la venda es tira endavant, tot informant oportunament al client. La següent figura mostra els passos anteriors, on el Banc V i el Banc C són els bancs del venedor i el comprador respectivament. Les comunicacions sempre es fan per mitjà d’un protocol web segur i el ve- nedor disposa del certificat digital adequat. Per tant, el comprador pot estar segur que el venedor és qui diu ser i que les dades relacionades amb la seva targeta viatjaran per la xarxa de forma confidencial. Ara bé, com que les dades passen pel lloc web del venedor, no es pot assegurar que aquest no farà un ús indegut de les dades de la targeta bancària del client, ni tampoc que farà servir els mecanismes de se guretat adequats per emmagatzemar aquesta informació. Veiem, doncs, que, des de la perspectiva del comprador, aquest sistema té una limitació important: un venedor deshonest es podria quedar amb les dades de la targeta. No obstant, això és inherent al fet que s’està pagant amb targeta bancària, ja que en els entorns físics, qui cobra podria també fer un ús indegut de les dades de la targeta del consumidor. Des de la perspectiva del venedor, el sistema té també una limitació i és la difi- cultat a assegurar la identitat del comprador. Això és perquè, per mitjà d’aquest sistema, no es demana res més que dades que ja apareixen impreses en la tar- geta bancària i que es podrien obtenir fraudulentament. El fet d’utilitzar una passarel·la que no demani cap informació addicional permet, en certa manera, pagaments sense l’autorització expressa del comprador. © FUOC PID_00289995 19 Sistemes de pagament per al comerç electrònic Noteu, tanmateix, que en les botigues físiques també es poden fer pagaments per sota d’un determinat import fent servir una targeta bancària sense contacte i sense haver d’introduir cap PIN. Les targetes bancàries han anat incorporant un seguit de mecanismes per as- segurar la identitat del comprador, com ara la incorporació d’un xip. Per aco- modar aquests mecanismes i d’altres més complexos i assegurar la identitat del comprador, convé que el venedor faci servir altres tipus de passarel·les. 2.1.2. Passarel·les d’arquitectura triangular Per tal d’augmentar la seguretat en els pagaments per mitjà de targeta bancària, les passarel·les de pagament més àmpliament utilitzades en webs de botigues en línia de mida petita o mitjana són d’arquitectura triangular. Passarel·les sense web La filosofia d’una passarel·la triangular de pagaments es fonamenta en redireccionar el comprador de la botiga en línia cap al lloc web de la Les passarel·les que usen els webs de les botigues en línia passarel·la de pagament de l’entitat bancària. D’aquesta manera, el ve- estan implementades amb tec- nologies web. Ara bé, per a les nedor mai accedirà a les dades de la targeta del client i, conseqüentment, apps de dispositius mòbils on no en podrà fer un ús fraudulent. no es pot “obrir un web” (ja que obrir el navegador trenca- ria la coherència del disseny) hi ha passarel·les que també per- meten interactuar sobre inter- L’operació de pagament de les passarel·les d’arquitectura triangular funciona net però amb altres tecnologi- es. de la manera següent: 1) El client passa per caixa. 2) La botiga en línia redirecciona el client cap a la passarel·la de pagament, és a dir, cap la TPV del banc del venedor, que és informada del número de referència de la comanda i de l’import a cobrar. 3) Un cop a la passarel·la de pagament, el client visualitza l’import que se li carregarà i introdueix les dades de la seva targeta bancària. La introducció d’aquesta informació es fa en un lloc en principi d’allò més segur, com és el web del banc del comprador (Banc C). A més, el temps de què disposa el comprador per introduir les seves dades a la passarel·la està limitat per temes de seguretat. 4) La passarel·la podria contactar amb el banc del comprador per assegurar la identitat d’aquest, aspecte que veurem al següent apartat. 5) Quan el pagament es fa efectiu, la passarel·la redirecciona el comprador de nou cap al web del venedor i alhora informa al web del venedor que tot ha anat bé. Aquesta informació es transmet de forma segura entre passarel·la i venedor. El següent esquema il·lustra el funcionament d’aquestes passarel·les: © FUOC PID_00289995 20 Sistemes de pagament per al comerç electrònic Hem vist que la principal diferència respecte les passarel·les d’arquitectura li- neal és que, en aquest cas, el comprador introdueix les dades de la targeta ban- cària en un web diferent a la botiga virtual (el servei TPV del Banc V de la figura). D’aquesta manera es garanteix que el venedor no es queda amb les da- des de la targeta del comprador. I atès que el banc solament rep una referència de la comanda, mai podrà saber quina mena de compres fan els seus clients. En aquest sistema, tant el venedor com el comprador han de confiar en l’entitat que ofereix l’aplicació de pagaments. Aquesta confiança s’assoleix en- tre venedor i banc, gràcies als mecanismes de TLS, les signatures digitals i els certificats. Com en el cas de la passarel·la lineal, el comprador té la certesa que el venedor és qui diu ser gràcies, també, a l’ús d’aquestes tècniques. 2.1.3. Comprovar la identitat del comprador Les passarel·les de pagament inclouen sistemes per assegurar la identitat del comprador o, dit d’una altra manera, asseguren que el pagament compta amb la validació explícita del propietari de la targeta. Tècnicament aquests sistemes reben el nom de passarel·les de tres dominis. Les passarel·les de tres dominis proporcionen els mitjans per comprovar que el titular de la targeta és efectivament qui realitza la compra per internet. En aquests casos, ni el titular de la targeta ni l’entitat emissora de la targeta no podran al·legar desconeixement de la compra efectuada. Vet aquí els tres dominis d’aquest tipus de passarel·les: © FUOC PID_00289995 21 Sistemes de pagament per al comerç electrònic 1) El domini de l’emissor de la targeta, que consisteix en què l’entitat que ha emès la targeta, el banc del comprador, autentifica aquest, és a dir, verifica que el titular de la targeta és qui està fent la compra. 2) El domini d’interoperabilitat, és a dir internet, que és el lloc per on passen els missatges d’autentificació i gestió del pagament. La seguretat es garanteix perquè s’usen protocols segurs de comunicació. 3) El domini de l’adquiridor, és a dir, la comunicació entre el venedor, la passarel·la de pagament, el banc del venedor i, si s’escau, el banc del compra- dor. Un cop més, l’ús de certificats i protocols web segurs proporciona segure- tat en aquest àmbit. Per fer servir una passarel·la d’aquestes característiques cal informar els com- Visa i MasterCard pradors que han de registrar la targeta que fan servir habitualment per com- Actualment tant Visa com prar a internet al sistema de verificació de tres dominis. Aquest registre es por- MasterCard ofereixen segu- tarà a terme a la seva entitat bancària. retat en tres dominis a les passarel·les de pagament, per mitjà dels sistemes Verified by Visa i MasterCard SecureCode, Un element clau en la implementació del mètode de verificació és el telèfon respectivament. mòbil del titular de la targeta. El procés d’aquesta verificació amb mòbil es descriu en la figura següent. En aquest cas, el comprador té especificat al seu Autentificació banc (el Banc C) quin és el número de telèfon mòbil amb el qual protegirà la seguretat dels seus pagaments electrònics. A partir de llavors, sempre que fa Aquest mètode de verifica- ció per mitjà del codi envi- un pagament amb la seva targeta en un establiment virtual connectat a una at al telèfon s’emmarca dins l’autentificació amb dos fac- passarel·la de tres dominis, primer introdueix la informació de la targeta de tors, que heu vist al mòdul de crèdit (1); tot seguit es demana al banc del comprador que enviï un codi al seguretat en el comerç electrò- nic. mòbil del comprador (2); i el comprador rep el codi (3) i l’introdueix en el web de la passarel·la (4). Si el procés finalitza amb èxit, es dona per validada la propietat de la targeta, es tira endavant amb la compra i es torna al lloc web de la botiga en línia. El banc del comprador genera el codi enviat al mòbil del comprador, que és específic per a cada pagament. © FUOC PID_00289995 22 Sistemes de pagament per al comerç electrònic Alternativament, el titular de la targeta rebrà al seu telèfon mòbil un SMS, demanant-li que autoritzi el pagament. Aquí el comprador fa clic sobre l’enllaç de l’SMS i s’obre un lloc web segur que li demana, per exemple, introduir el PIN de la targeta bancària amb la qual ha fet el pagament. A més, hi ha un altre sistema de verificació que fa servir l’app de l’entitat bancària del comprador, que estarà instal·lada al seu telèfon mòbil. Aquesta app emetrà una notificació i, per validar el pagament, el comprador s’hi haurà d’autentificar, per exemple, posant una contrasenya, o bé amb l’ús del reco- neixement facial o de l’empremta digital. PSD2 i strong customer authentication Aquestes mesures estan recollides en la Directiva (UE) 2015/2366, del 25 de novembre de 2015, sobre serveis de pagament en el mercat interior (en anglès, Payment Services Directive o PSD2). Aquesta és una norma europea que promou, entre altres aspectes, l’autentificació reforçada de client (strong customer authentication, SCA) i que permet que terceres empre- ses també puguin intervenir en els pagaments. Els pagaments per mitjà de la targeta bancària s’han d’autentificar usant com a mínim dos elements facilitadors de l’autentificació, com ara alguna cosa que el client coneix (p. ex., el seu PIN o contrasenya), alguna cosa que té (la seva aplicació mòbil) o allò que és (una empremta dactilar, la geometria de la cara o d’altres possibles característiques biomètriques). Sembla que aquest sistema resol la seguretat per al venedor, ja que l’entitat emissora de la targeta s’encarrega de verificar que el comprador és realment el titular de la targeta. Ara bé, què passa si al client li roben el mòbil junta- ment amb la targeta bancària i aquest mòbil no té mecanismes segurs de des- bloqueig? I què passa si el mòbil conté alguna mena de software maliciós que autoritza automàticament els pagaments? Com veieu, no sembla fàcil dotar d’una seguretat completa els sistemes de pa- gament. Les normatives de les entitats bancàries assignen al comprador la res- ponsabilitat de tenir el seu mòbil i de protegir el dispositiu amb què autorit- zen els pagaments. El comprador també ha de ser capaç de detectar missatges fraudulents que tinguin com a finalitat robar credencials o instal·lar software maliciós. Tot i així, les entitats bancàries utilitzen el big data i el reconeixement © FUOC PID_00289995 23 Sistemes de pagament per al comerç electrònic de patrons d’operacions de pagament, entre d’altres tècniques, per detectar possibles usos fraudulents d’una targeta i avisen, si escau, el comprador. Fins i tot, li poden bloquejar la targeta. 2.2. Pagaments per transferència bancària Algunes botigues en línia poden oferir sistemes de pagament de la compra mit- jançant un ingrés bancari directe en el compte del venedor o per transferèn- cia bancària. Distingirem dos tipus d’operacions: els ingressos i transferències convencionals, i les transferències que es fan per mitjà de banca electrònica. 2.2.1. Pagament per transferència bancària convencional Tot seguit s’enumeren els passos per fer un pagament a través d’un ingrés o una transferència convencionals a un compte bancari: 1) El comprador tria els productes que vol comprar i activa l’acció de pagar. 2) El venedor assigna un número de referència a la comanda. 3) El venedor facilita al comprador el número de compte on cal que faci l’ingrés SWIFT per l’import acordat. És important que indiqui el número de compte amb el SWIFT és l’acrònim de Soci- format IBAN o SWIFT, per permetre que pugui fer la transferència des de qual- ety for Worldwide Interbank Fi- sevol país del món. nancial Telecommunications. Aquesta societat defineix nú- meros per identificar entitats bancàries in ternacionalment. 4) El comprador ordena el pagament per l’import estipulat en el compte del El codi SWIFT (o adreça SWIFT) també es coneix com a BIC venedor tot indicant-hi la referència de la comanda. Per fer aquest pagament, (bank identifier code). el comprador pot utilitzar diversos mecanismes: des de fer servir el servei de banca electrònica de la seva entitat bancària, fins a desplaçar-se a un caixer o a una oficina bancària. IBAN L’IBAN és l’acrònim d’international bank account 5) El comprador fa arribar al venedor el resguard de la transferència o l’ingrés, number. És un número que habitualment per correu electrònic. identifica un compte bancari de forma unívoca, per tal que pugui ser usat des de qual- sevol país del món. Es tracta 6) El venedor comprova la validesa de la transferència i procedeix a realitzar d’un codi de país (dos caràc- l’enviament de la comanda. ters), un codi de control per validar l’IBAN (un parell de dí- gits) i, finalment, els números d’identificació de l’entitat ban- En aquests sistemes, la comanda té una validesa acotada. Si un cop passat el cària, la sucursal, els dígits de període de validesa no s’ha dut a terme la transferència, la comanda queda control i el número de comp- te. anul·lada automàticament. 2.2.2. Pagament per mitjà de banca electrònica Hi ha botigues en línia que han anat un pas més enllà i faciliten als clients les transferències bancàries. En aquests casos, cal que el client disposi d’un servei de banca electrònica al seu banc. © FUOC PID_00289995 24 Sistemes de pagament per al comerç electrònic En els pagaments per mitjà de banca electrònica es facilita el procés de transferència bancària, de tal manera que fins i tot no cal que el venedor publiqui o faciliti el seu número de compte. Tot seguit veiem un exemple de funcionament d’aquest sistema, que està il·lustrat a la figura següent: 1) El comprador tria els productes que vol comprar i activa l’acció de pagar. La botiga en línia assigna un número de referència a la comanda i demana al comprador per mitjà de quin banc vol fer el pagament. 2) Un cop el comprador ha triat el banc, des de la botiga en línia s’activa el mòdul de pagaments per transferència del sistema de banca electrònica del comprador. 3) Al comprador se li presenta el lloc web de validació de la seva banca elec- trònica i allà s’hi identifica, per exemple, per mitjà del nom d’usuari i la con- trasenya. Seguidament se li presenta una pàgina amb la informació del paga- ment (que inclou el nom de la botiga en línia i l’import total) alhora que se li demana introduir un dels codis corresponent a la targeta de coordenades o qualsevol dels sistemes de validació que el comprador té associats a la seva banca electrònica. © FUOC PID_00289995 25 Sistemes de pagament per al comerç electrònic 4) Un cop introduït el codi, si aquest és el correcte, la transferència es dona per finalitzada amb èxit i es retorna al lloc web de la botiga en línia. Com hem vist, el comprador no ha hagut de prendre nota de quin és el compte bancari del venedor, ni ha hagut d’introduir cap altra informació diferent a la que fa servir habitualment en el seu servei de banca electrònica. Pel que fa a la seguretat d’aquests sistemes de pagament, podem fer alguns comentaris: El comprador pot autentificar l’establiment si es fan servir comunicacions Autentificació del sobre un protocol web segur i el venedor disposa del certificat digital ade- comprador en ingressos i transferències quat. D’aquesta manera el comprador té la certesa que el venedor és qui convencionals diu ser i que les dades bancàries són efectivament les de l’establiment. Quan el comprador es des- El sistema garanteix al venedor: la validesa del pagament (ja que s’assegura plaça a una oficina de la se- va entitat bancària per fer una que al compte d’origen de la transferència hi ha prou saldo per fer el pa- transferència, sol mostrar el gament), el no repudi i la identitat del comprador. D’això últim general- seu DNI, cosa que garanteix la seva identitat. Ara bé, si fa ment se n’ocupa el banc del comprador. Quan el comprador ordena una un in grés directament al banc del venedor, rares vegades se li transferència des del seu compte, el banc autentifica la seva identitat tot demana que s’identifiqui. demanant-li un codi de la targeta de coordenades. Atès que el venedor no envia el producte fins que no té l’ingrés, aquest sistema presenta un desavantatge per al comprador, que paga per avançat i, per tant, ha de confiar en el venedor. © FUOC PID_00289995 26 Sistemes de pagament per al comerç electrònic 3. Plataformes de pagaments entre usuaris L’apartat anterior ens ha permet conèixer els sistemes de pagament que ja uti- litzaven les botigues físiques (en general, les targetes bancàries i, en menor mesura, les transferències) i que s’han adaptat i s’utilitzen en el comerç elec- trònic. En tots dos sistemes les entitats bancàries hi tenen un paper fonamen- tal: ja sigui perquè s’utilitzen targetes bancàries que, al capdavall, tenen un compte bancari associat, o perquè es fan pagaments per transferència entre entitats bancàries. Ara estudiarem dos sistemes de pagament que van sorgir per fer possibles els pagaments instantanis entre usuaris, però que també s’han estès al pagament en comerços. En aquests altres sistemes el banc no hi intervé de manera directa sinó que és la plataforma d’una entitat no bancària (PayPal, Bizum) la que s’ocupa de les operacions i disposa del saldo del comprador per anar efectuant diferents compres. A més, si en els pagaments per mitjà d’una entitat bancària el receptor del pagament havia de ser un comerç, en aquest cas, tant l’emissor com el receptor del pagament poden ser particulars. L’objectiu d’aquests sistemes és l’enviament de diners sense haver d’utilitzar una passarel·la de pagament. Però, a diferència de les criptomonedes, que in- troduirem més endavant, darrere aquests sistemes sempre hi acaba havent –a més a més de la plataforma que els fa possibles– unes entitats bancàries, uns comptes bancaris i uns imports amb moneda de curs legal. 3.1. PayPal PayPal és un dels primers sistemes de pagament electrònic entre usuaris que PayPal va sorgir, i segueix essent molt popular i utilitzat. Aquest sistema va començar PayPal és una empresa esta- com un lloc web que permetia la transferència de diners entre usuaris fent tunidenca fundada el 1998 a servir el correu electrònic. Actualment, a banda de seguir facilitant pagaments Califòrnia. La seva plataforma de pagaments opera en mul- entre usuaris de l’àmbit internacional i que es fan efectius gairebé de forma titud de mercats i té milions d’usuaris registrats. immediata, és una alternativa als mitjans de pagament amb targeta bancària en aquelles botigues en línia que així ho hagin decidit. A continuació, expliquem com funcionen els pagaments a través de la plata- forma PayPal: 1) L’usuari vol crear un compte a PayPal per poder fer cobraments o pagaments amb aquells altres usuaris o aquelles botigues en línia que accepten el paga- ment per mitjà d’aquest sistema. Amb aquest objectiu, introdueix en el siste- ma algunes dades personals, entre les quals es troba la seva adreça de correu electrònic. © FUOC PID_00289995 27 Sistemes de pagament per al comerç electrònic L’adreça de correu electrònic facilitada per l’usuari en el registre sol ser uti- litzada per la plataforma com el seu identificador. Un cop feta la validació d’identitat de l’usuari (per mitjà del correu electrònic), aquest ja podrà rebre pagaments. 2) Per fer pagaments a PayPal, l’usuari cal que tingui saldo. Per obtenir saldo, pot fer un ingrés al seu compte a PayPal, tot utilitzant un mitjà de pagament com ara la targeta bancària i l’accés a una passarel·la de pagament, o mitjan- çant una transferència des d’un compte bancari. Ara bé, els usuaris solen esco- llir la primera d’aquestes opcions i vincular una targeta bancària al seu comp- te. En aquest cas, la validesa de la targeta es basa en qualssevol dels mecanis- mes que hem descrit anteriorment per als pagaments amb targeta bancària (per exemple, a través de l’enviament d’un SMS amb codi a través de l’entitat bancària emissora de la targeta). L’enviament de diners és ben senzill: l’usuari accedeix a la plataforma web o a l’aplicació mòbil de PayPal, s’identifica i indica el destinatari del pagament (identificat amb el seu correu electrònic), i l’import de l’operació. Per auten- tificar aquesta operació, generalment, haurà d’introduir un codi secret i espe- cífic que haurà rebut al seu telèfon mòbil. Per la seva part, el destinatari dels diners els rebrà a la seva targeta bancària o al seu compte corrent, segons hagi especificat. 3) Un usuari que ven productes pot demanar un pagament a qualsevol altre usuari. En aquest cas, l’usuari que ha de fer el pagament rebrà un correu elec- trònic per part de PayPal a través del qual efectuarà aquest pagament. Una de les funcionalitats de PayPal en el comerç electrònic és la integració Pagaments amb codis QR del pagament a les botigues en línia. Per fer-ho possible, primer cal arribar Una de les formes de facilitar a un acord amb PayPal i després cal integrar el mecanisme de pagament al l’adopció, per part dels usua- lloc web. Arran de l’acord establert, el venedor rebrà un fitxer o una clau que ris, dels pagaments via PayPal, tant en botigues en línia com l’identificarà i l’autentificarà davant el sistema PayPal a l’hora de fer servir físiques, és la identificació dels pagaments amb codis QR. aquest mecanisme de pagament. PayPal té serveis exempts de comissions, generalment entre particulars, però a les botigues en línia els aplica un conjunt de comissions. Anteriorment hem vist que part dels costos associats a fer servir passarel·les de pagament tenen a veure amb el pagament de comissions bancàries. Aquestes comissions també se solen aplicar a les transferències bancàries, al gir de rebuts, etc. PayPal també aplica comissions als comerços. 3.2. Bizum En moltes situacions de la vida diària, cal efectuar petits pagaments entre parti- culars. Un exemple típic és quan diverses persones van a sopar, una d’aquestes paga el sopar amb la seva targeta bancària, i la resta li retornen la seva part en efectiu: no és fàcil que hom disposi de prou canvi per retornar les quantitats © FUOC PID_00289995 28 Sistemes de pagament per al comerç electrònic exactes, queden deutes pendents, etc. Saldar aquests deutes amb transferèn- cies bancàries tindria com a mínim un parell d’inconvenients: les transferèn- cies se solen fer efectives amb un retard d’entre un i dos dies laborables i, a més, segurament els comensals haurien de fer front a diferents comissions per transferència. Per resoldre aquesta situació, diverses entitats bancàries de l’Estat espanyol Bizum es van unir per crear Bizum, una plataforma de pagaments immediats entre És un proveïdor de serveis de particulars. pagament a Espanya creat ar- ran de la col·laboració de la majoria de les entitats bancàri- A diferència de PayPal, els usuaris de Bizum no s’identifiquen amb el correu es que hi operen. Es va fundar el 2016 i cinc anys després ja electrònic, sinó amb el seu número de telèfon mòbil. A més, mentre que tenia 15 milions d’usuaris. PayPal permet operar en l’àmbit internacional, Bizum només fa possible les transaccions entre particulars amb comptes bancaris dins el mercat espanyol. Més concretament, només es permeten les transaccions entre clients de les entitats bancàries que donen suport a Bizum, que actualment són vora una trentena. Per usar Bizum, primer cal que l’usuari tingui vinculat el seu compte bancari a un número de telèfon mòbil. Això ja és habitual perquè, com hem vist an- teriorment, el número de telèfon del comprador sol ser un element clau en el moment d’autentificar pagaments. Seguidament, per iniciar un pagament amb Bizum, cal fer ús de l’aplicació mòbil del banc (o el lloc web amb el servei de banca electrònica). La perso- na destinatària del pagament s’identifica, com dèiem, amb el seu número de telèfon. En funció de l’import a transferir i de si és la primera vegada que es “fa un Bizum” a aquell destinatari, es requerirà l’autentificació per algun dels mitjans habituals, com ara un codi enviat per SMS. De forma similar a PayPal, un usuari pot demanar diners per Bizum a un altre Imports a Bizum usuari. Aquest segon usuari rebrà un SMS o una notificació de l’aplicació mòbil Els imports que es poden pa- de la seva entitat bancària a partir de la qual iniciar el pagament. A més, la gar amb Bizum tenen uns lí- integració de Bizum a les botigues en línia és una opció que es va estenent. mits, tant per cada operació com per l’import total que es pot arribar a pagar a un ma- teix destinatari durant un perí- ode de temps determinat. © FUOC PID_00289995 29 Sistemes de pagament per al comerç electrònic 4. Altres formes de pagament centralitzades En aquest apartat tractarem d’altres sistemes de pagament centralitzat que no hem considerat fins ara. Tots tenen en comú que es basen en una única entitat (un lloc web de comerç electrònic, un sistema de gestió de pagaments electrò- nics, etc.) on el comprador hi té un saldo. En un sistema de pagament centralitzat hi ha un gestor en el qual el comprador hi té un compte amb un saldo inicial. El comprador va gas- tant aquest saldo a mesura que va fent compres. Aquest model és àmpliament utilitzat en diferents pagaments en el comerç electrònic: Una bossa amb saldo per fer pagaments de béns digitals o serveis de petit valor. Targetes regal, que en el fons són comptes en un sistema de pagament que ha carregat amb saldo la persona que vol fer el regal. Pagaments a través d’un gestor de mitjans de pagament. Pagaments per via de missatges SMS sobretarifats. Pagaments per mòbil en la modalitat carrier billing. Anem a veure amb deteniment aquestes variants. 4.1. Bossa amb saldo El sistema de bossa amb saldo és àmpliament utilitzat per pagar béns digitals Facebook o serveis de petit valor. Per exemple, fotografies de qualitat professional en un Facebook té establert un siste- catàleg electrònic, notícies d’un diari digital o apostes electròniques. ma centralitzat pels pagaments dels serveis de promoció de perfils, pàgines i recursos en Quan el comprador ha de fer el pagament, la botiga en línia només ha de aquesta xarxa social. El saldo dipositat pels anunciants es va comprovar que hi ha prou saldo a la bossa. Si n’hi ha, es descompta de la bossa gastant a mesura que es van difonent les seves pàgines. el valor del pagament. També és possible que a la bossa s’hi afegeixi saldo, per exemple perquè el comprador rep un petit saldo com a agraïment per la seva fidelitat a la botiga en línia. © FUOC PID_00289995 30 Sistemes de pagament per al comerç electrònic El procediment més important en aquests sistemes és la creació de la bossa i la seva càrrega inicial amb saldo. Aquesta càrrega es fa per mitjà d’un pagament a través d’una entitat bancària, com els que hem explicat anteriorment, o bé, de forma menys habitual, utilitzant el sistema carrier billing de pagament amb els mòbils. Tot seguit detallem els passos perquè un comprador creï una bossa i la carregui amb un saldo inicial: 1) El client es registra al gestor de la bossa (que pot ser la mateixa botiga en Captcha línia), per la qual cosa escull un nom d’usuari i una contrasenya. Aquestes Un captcha és un sistema que dades es recullen sota una sessió segura. Molt probablement es farà servir un permet confirmar que qui em- procés captcha com a mesura complementària de seguretat. plena un formulari electrònic és una persona i no pas un programari malintencionat. Un dels mètodes que utilitza 2) Per dotar de seguretat addicional aquest tipus de registres i activar de forma consisteix a demanar a l’usuari efectiva el compte creat a la botiga en línia, es requereix confirmar el correu que introdueixi un text que es mostra en forma de fotografia electrònic. Per fer això, s’envia un missatge de confirmació a l’adreça de correu distorsionada. electrònic indicada en el registre. Fins que el comprador no llegeix aquest mis- satge i efectua una acció (fa clic a l’enllaç que conté el missatge, o bé introdueix dins d’un formulari web un codi enviat en el missatge) no es dona el compte per confirmat. Noteu que, si més no, el que es verifica és que qui dona d’alta el compte també és qui gestiona l’adreça de correu electrònic proporcionada. 3) El venedor redirecciona al client a una passarel·la de pagament, en la qual aquest efectuarà un pagament per emplenar la seva bossa. 4) Si el pagament té confirmació, el client quedarà enregistrat a la base de da- des. Se li haurà afegit un saldo per import igual al pagament que ha efectuat. Addicionalment, se li poden haver afegit alguns diners extra en forma de pro- moció per a nous clients. 5) A partir d’ara, quan el client vulgui accedir al servei, ha de validar la seva identitat. Així doncs, cada cop que l’usuari accedeix al servei, se li resta la quantitat corresponent de diners de l’import inicial que havia abonat. Un cop esgotat l’import pagat inicialment, la botiga avisa l’usuari perquè faci un nou ingrés. Les bosses amb saldo sovint prenen la forma de targetes de regal virtual. Les targetes de regal electròniques, o e-gift cards en anglès, permeten que es doni d’alta un compte amb saldo en una botiga en línia, el qual s’associa a un codi. Qui tingui aquest codi pot gastar el saldo a la botiga. Els procediments per implementar aquests sistemes són ben variats. A conti- nuació, en descrivim un de prou genèric: © FUOC PID_00289995 31 Sistemes de pagament per al comerç electrònic 1) El pagador o persona que fa el regal es registra a la botiga virtual tot intro- duint, entre altres dades, el seu correu electrònic. A més, especifica la quantitat que vol regalar a l’adreça de correu electrònic del destinatari de la targeta regal. 2) El venedor redirecciona al pagador una passarel·la de pagament, on intro- dueix les dades que permeten fer efectiu el pagament. 3) Un cop el pagador torna al lloc web del venedor, se l’informa del codi de referència de la targeta regal i s’envia un missatge amb aquest mateix codi a la persona que rep el regal. A partir d’ara, qui rep el regal tindrà un codi que podrà utilitzar un cop es doni d’alta a la botiga en línia, si és que mai no hi havia estat client. Per tant, disposarà d’un saldo per anar gastant i del qual se li aniran descomptant les seves compres. Certament, el comerç electrònic ha mimetitzat tècniques de pagament origi- nàries dels canals de distribució convencionals. Un altre exemple són les for- mes de promoció de vendes electròniques com els cupons electrònics. Un cas típic és el de regalar cupons de descompte als nous clients en una botiga en línia, els quals obtenen un codi que els permet gaudir d’aquests descomptes. Per implementar l’ús de targetes de regal i cupons, la botiga en línia haurà d’haver habilitat un camp específic a la pàgina prèvia a l’accés a la passarel·la de pagament. Si s’emplena el camp i es prem, per exemple, un botó de “recal- cular preu”, es consultarà a la base de dades l’estat d’aquell codi i, si s’escau, s’aplicaran els descomptes corresponents. 4.2. Pagaments a través de tercers Las grans botigues en línia permeten als seus clients definir el mitjà o els mit- jans de pagament que faran servir per a les seves compres a través d’un gestor de mitjans de pagament. D’aquesta manera, no caldrà que el client introdu- eixi les dades de la seva targeta bancària (ni faci la corresponent autentificació) cada cop que vulgui pagar una nova compra. Per exemple, Amazon disposa d’un gestor de pagaments per facilitar la mecà- nica dels pagaments als seus usuaris: a l’hora de pagar la seva compra, l’usuari només ha de seleccionar quin mitjà de pagament farà servir d’entre els que té introduïts al gestor. A més a més, Amazon ofereix a les botigues en línia la possibilitat d’actuar com Amazon i PayPal a intermediàries del pagament entre la botiga i els compradors. És a dir, quan El funcionament del ges- es vulgui efectuar un pagament en una d’aquestes botigues, no caldrà que els tor de mitjans de pagament d’Amazon és força similar al que permet PayPal, i que hem comentat anteriorment. © FUOC PID_00289995 32 Sistemes de pagament per al comerç electrònic usuaris facin una passarel·la de pagaments: només farà falta que es validin en aquesta tercera part (Amazon en aquest cas) i que seleccionin el mitjà adequat per fer el pagament. Utilització del gestor de mitjans de pagament d’Amazon en una botiga en línia El sistema de pagament a través de tercers pot tenir altres variants. Per exem- ple, els dispositius d’usuari, com ara ordinadors portàtils i telèfons mòbils, te- nen configurat un nom d’usuari al sistema operatiu (per exemple, Android o macOS). Per poder fer compres en botigues d’aplicacions, música o vídeo sota demanda cal vincular aquests noms d’usuari a un o més mitjans de pagament (habitualment targetes bancàries). Així doncs, quan, per exemple, des del te- levisor es vol llogar una pel·lícula o es vol subscriure un servei determinat, no caldrà introduir les dades del mitjà de pagament. O bé quan es compra una aplicació mòbil, el pagament també es podrà realitzar a través d’aquest mitjà. Per tant, qualsevol comprador que disposi d’un perfil d’usuari amb mitjans de pagament associats podria fer-lo servir per efectuar pagaments en les botigues en línia que facilitin aquesta opció. 4.3. Pagaments amb SMS sobretarifats En la majoria de països, el telèfon mòbil ha esdevingut un element tan ha- bi tual per als consumidors com la targeta bancària, de manera que el mòbil també s’utilitza com a plataforma per fer pagaments de petit valor (com, per exemple, comprar una fotografia, llogar una pel·lícula, etc.). Una de les formes més tradicionals de fer servir el mòbil per a pagaments petits és a través dels missatges SMS sobretarifats. Una altra de les for- mes, coneguda com a facturació per part de l’operadora o carrier bi- lling, és senzillament que l’import del pagament es carregui a la factura de telefonia, com un servei més. SMS SMS significa short message system, i és un sistema que permet l’enviament de missatges curts de text per telefonia mòbil. El seu ús ha quedat relegat a escenaris concrets, atès que la gran majoria d’usuaris de mòbil fan servir la missatgeria instantània sobre internet en comptes de missatges SMS. © FUOC PID_00289995 33 Sistemes de pagament per al comerç electrònic Per implantar aquests sistemes en un establiment virtual cal contractar els ser- veis d’una empresa de gestió de pagaments amb mòbil, que fa de nexe entre el venedor, les operadores telefòniques i els usuaris. Els serveis que les empreses de gestió de pagaments amb mòbil proporcionen als venedors solen ser els següents: Mòdul despatxador. Es tracta d’una aplicació que està instal·lada en el servidor que allotja el lloc web de l’establiment i que permet servir els productes al client solament si s’esdevé el pagament de forma correcta. És una mena de passarel·la de pagament, però no hi intervé cap banc. Accés al registre d’accessos i liquidacions. Aquesta aplicació sol ser acces- sible a través del lloc web de l’empresa de gestió de pagaments. En aquest lloc web hi trobarem estadístiques, registres de les transaccions de paga- ment, etc. En els pagaments amb SMS sobretarifats, el client paga la totalitat del preu del missatge a la seva operadora telefònica. El preu d’aquest missatge cobreix els imports següents: Preu bàsic de l’SMS, que és el preu assignat per l’enviament d’un missatge SMS convencional (no sobretarifat), i que cobra l’operadora de telecomu- nicacions. Comissió que aplica l’operadora de telecomunicacions a l’empresa de ges- tió d’SMS, i que sol repercutir en el client final. Comissió aplicada per l’empresa de gestió d’SMS al venedor. El preu del producte adquirit pel client (un logotip per al mòbil, una cançó, etc.). Per il·lustrar el funcionament d’un sistema de cobrament per mitjà del telèfon mòbil en la modalitat carrier billing en veurem tot seguit un exemple. Supo- sem que una botiga en línia que ven fotografies digitals permet aquesta forma de pagament amb mòbil. El procés seria com el següent: 1) El comprador selecciona la fotografia i indica que vol fer el pagament. Es redirecciona el comprador al lloc web del mòdul despatxador. El lloc web li demana especificar el número de mòbil. 2) Un cop s’envia la informació, el mòdul despatxador enviarà al mòbil del comprador un codi d’autorització del pagament, d’una forma similar al que hem vist en les passarel·les de pagament de tres dominis. 3) El codi s’introdueix al lloc web i, d’aquesta manera, s’autoritza la compra. L’import d’aquesta es carregarà a la factura del mòbil del comprador. © FUOC PID_00289995 34 Sistemes de pagament per al comerç electrònic Si el procés de pagament és per mitjà d’SMS, el procediment és una mica di- ferent: 1) En iniciar el procés de pagament, el comprador rep en pantalla instruccions per enviar un SMS a un número de telèfon, i se li especifica un codi que fa referència a la compra concreta que es vol pagar. 2) El comprador envia un SMS al número especificat, amb el codi que se li ha demanat. 3) Com a resposta a aquest enviament d’SMS, el comprador rep un SMS amb un codi de comprovació del pagament que haurà d’introduir al lloc web. Noteu que en el cas del carrier billing, rebíem un codi per autoritzar el pa- gament, però ara el pagament ja s’ha realitzat, atès que ja s’ha enviat l’SMS. Per donar cabuda a diferents preus de micropagament, es podria sol·licitar l’enviament de diversos SMS consecutius. L’empresa de gestió de pagaments amb mòbil s’encarregarà de transferir els diners que rebi de les operadores de telefonia mòbil cap als comptes dels vene- dors. En preveure múltiples compres amb aquests sistemes, les transferències que s’hauran de fer seran de valor mitjà i no pas de valor petit. © FUOC PID_00289995 35 Sistemes de pagament per al comerç electrònic 5. Pagaments amb criptomonedes Els sistemes de pagament que hem vist fins ara es basen en models centralit- zats on una autoritat central –ja sigui un banc o l’entitat que gestiona el pa- gament– controla la seguretat, la veracitat dels pagaments i el saldo que cada usuari té en el seu compte. En els darrers anys, però, ha sorgit un nou model de sistema de pagament totalment descentralitzat i basat en tècniques crip- togràfiques. Aquestes tècniques permeten, malgrat la descentralització de les tasques, garantir la seguretat del sistema de pagament. Les criptomonedes són mètodes de pagament electrònic que, mitjan- çant tècniques avançades de criptografia, faciliten el funcionament se- gur i totalment descentralitzat del sistema. Les criptomonedes funcionen, conceptualment, de manera semblant als siste- Bitcoins mes de pagament bancaris en el sentit que, malgrat que es parla de criptomone- Una de les criptomonedes més des, el concepte de moneda s’associa a un compte corrent en aquella moneda conegudes és el bitcoin, que es més que no pas a una estructura de dades digital. Així, tot i que semànticament va crear a principis del 2009. N’hi ha, però, moltes altres és el mateix, des del punt de vista conceptual seria més correcte indicar, per (com ara Ethereum), la majoria de les quals tenen els mateixos exemple, “que l’usuari A té un saldo actual de 25 en un compte de bitcoins” fonaments tecnològics. que no pas dir “l’usuari A té 25 bitcoins”. Amb aquesta conceptualització és fàcil entendre que, en aquests tipus de sistemes, un pagament s’associa a una transacció, la qual té una adreça del compte origen (d’on sortiran els diners), una adreça del compte destí (on aniran a parar els diners) i un import, que és la quantitat de diners que passaran del compte origen al compte destí. El funcionament descentralitzat de les criptomonedes s’aconsegueix descen- tralitzant tots i cada un dels processos que fan possible el funcionament d’una moneda. Dins d’aquests processos trobem: Creació de comptes: qualsevol usuari del sistema ha de poder crear, per si sol, comptes de la criptomoneda per poder després operar-hi. Realització de pagaments i cobraments: qualsevol usuari del sistema ha de poder realitzar pagaments o cobraments en la criptomoneda sense que cap autoritat central ho hagi d’autoritzar. És a dir, qualsevol usuari pot crear una transacció. Verificació de la informació: qualsevol usuari del sistema ha de poder verificar en qualsevol moment que la informació del sistema és correcta. © FUOC PID_00289995 36 Sistemes de pagament per al comerç electrònic Per exemple, tothom ha de poder verificar la correcció de les transaccions que s’han realitzat. Transmissió de la informació: la transmissió de la informació sobre pa- gaments i altres dades que permeten fer funcionar el sistema no ha d’estar controlada per cap autoritat central. Registre de la informació: qualsevol usuari del sistema pot participar en el procés de registre de la informació en el sistema, és a dir, en el procés per autoritzar transaccions. Emmagatzemament de la informació: la informació necessària per ga- rantir el bon funcionament general del sistema de pagament no pot estar sota el control de cap autoritat central. Generació de moneda: el sistema ha de garantir que l’emissió de nova moneda no estigui controlada per cap autoritat central. La denominació de criptomoneda es fonamenta en què molts dels processos Criptografia de clau que acabem d’enumerar es poden realitzar de forma segura gràcies a la cripto- pública grafia. Per exemple, els criptosistemes de clau pública permeten als usuaris En el mòdul didàctic sobre se- crear els comptes de les criptomonedes. D’aquesta manera, quan un usuari guretat en el comerç electrò- nic trobareu una explicació de vol crear un compte amb una criptomoneda, genera un parell de claus d’un com funcionen els criptosiste- mes de clau pública i les signa- criptosistema de clau pública, amb una clau privada que només coneix ell i tures digitals. una clau pública que sí que dona a conèixer a la resta d’usuaris. La clau públi- ca determinarà el número de compte de la criptomoneda, que es denomina adreça. Aquest valor serà el que figurarà en les transaccions, tant per enviar di- ners (com a adreça de compte origen) com per rebre’n (com a adreça de comp- te destí). D’altra banda, la clau privada associada a aquesta clau pública serà la informació secreta que cada usuari utilitzarà per realitzar pagaments d’un compte. Per procedir al pagament, l’usuari realitzarà una signatura digital de la transacció. Aquesta signatura digital permet garantir l’origen de la transacció i que el seu contingut no ha estat modificat. Fixeu-vos que, gràcies a les propietats de la signatura digital, qualsevol usuari pot validar la correcció d’una transacció. Per verificar que una transacció és correcta es comprova que la signatura digital està ben realitzada, i això ho pot fer qualsevol usuari del sistema perquè la informació per validar una signatura digital és la clau pública, un valor que tothom coneix (en el cas de les cripto- monedes, el número del compte d’on surten els diners). Ara bé, només l’usuari del compte pot realitzar-ne el pagament perquè només ell pot fer la signatura digital de la transacció utilitzant la seva clau privada. La descentralització en la transmissió de la informació s’aconsegueix utilitzant una xarxa P2P que facilita l’intercanvi de la informació entre els membres de la xarxa. D’aquesta manera, quan es vol transmetre un pagament o qualsevol in- formació necessària per al funcionament del sistema, s’envia a diferents nodes © FUOC PID_00289995 37 Sistemes de pagament per al comerç electrònic de la xarxa que al seu torn l’envien a altres nodes als quals estan connectats, i així successivament fins que tota la xarxa té coneixement de la informació. Tot i que aquest sistema és poc eficient des del punt de vista de la transmis- sió que s’emet per la xarxa (ja que una mateixa informació pot ser tramesa diverses vegades), ofereix un alt grau de robustesa enfront de possibles atacs o manipulacions de la xarxa, ja que la mateixa informació circula per diversos camins i, per tant, és difícil evitar que es propagui. La descentralització en l’emmagatzemament, el registre de la informació així com l’emissió de la nova moneda es realitza per mitjà del que es coneix com a tecnologia de cadena de blocs, que s’explica en el següent apartat. 5.1. Tecnologia de cadena de blocs Atesa la propietat de facilitat exacta de còpia que tenen els continguts digitals, una de les dificultats més grans del sistema de moneda electrònica és evitar el problema de la sobredespesa. Aquest problema apareix quan un usuari gasta més d’una vegada els mateixos diners digitals, en definitiva, que gasta més del que té. Per prevenir la sobredespesa és indispensable disposar d’un registre únic on constin totes les transaccions. D’aquesta manera, i utilitzant aquest registre, es pot conèixer el saldo d’un compte en un moment determinat i comprovar si un pagament és correcte o, en realitat, s’està realitzant una sobredespesa. La propietat bàsica que ha de tenir aquest registre únic és que sigui possible la inclusió de noves transaccions i alhora que sigui molt difícil la modificació de transaccions prèviament incloses en el registre. Tecnologia de cadena de La tecnologia de cadena de blocs és un sistema completament distribuït blocs... de creació i manteniment d’un registre únic de transaccions, el qual... en anglès blockchain techno- permet la inclusió de noves transaccions i la consulta de les transaccions logy. que s’hi inclouen, però no fa possible modificar la informació que ja està incorporada en el registre. Així doncs, una cadena de blocs és una estructura de dades en la qual es van Temps de creació dels emmagatzemant totes les transaccions del sistema. S’anomena cadena de blocs blocs perquè les transaccions s’agrupen en blocs. Cada bloc conté totes les transac- El període de temps que de- cions realitzades durant un període fixat. A més, cada bloc conté informació termina les transaccions que s’inclouran en un bloc depèn del bloc anterior, informació que el vincula formant, simbòlicament, una ca- de cada criptomoneda. Per als bitcoins aquest interval és de dena de blocs. Així doncs, les transaccions es van afegint a aquest registre únic 10 minuts. Aquest temps, a més, determinarà el període cada vegada que un bloc s’afegeix a la cadena. Fixem-nos que la inclusió d’una mínim que requereix un paga- transacció a la cadena és el que dona validesa al pagament, ja que és en aquest ment per ser processat en el sistema i, per tant, per ser ac- moment que queda constància en el registre únic que el pagament s’ha realit- ceptat amb seguretat pel co- brador. zat i no hi podrà haver sobredespesa. Per tant, per realitzar un pagament no © FUOC PID_00289995 38 Sistemes de pagament per al comerç electrònic n’hi ha prou amb què el pagador realitzi un signatura digital de la transacció, sinó que la transacció s’ha d’incloure en la cadena; altrament, no es conside- rarà vàlida. Com hem indicat anteriorment, la cadena ha de permetre incloure nous blocs, però no ha de ser possible modificar-ne els ja inclosos. El mecanisme que per- met que la cadena de blocs tingui aquesta propietat passa per assegurar que la inclusió d’un bloc a la cadena comporti una certa quantitat de feina. D’aquesta manera, modificar l’últim bloc afegit a la cadena equival a la feina d’afegir un nou bloc, però gràcies al fet que els blocs de la cadena estan encadenats, mo- dificar el penúltim bloc de la cadena equival a la feina d’afegir dos blocs, i si volem modificar un bloc al qual se li han afegit 10 blocs posteriorment, l’esforç per fer-ho és l’equivalent a afegir 10 blocs. Amb aquest sistema s’aconsegueix que es puguin afegir transaccions a la cadena però que modificar transaccions ja existents sigui molt costós: aix

Sistemes de pagament per al comerç electrònic PDF

Document Details

Tags

Related

Summary

Full Transcript