Zijn we toe aan mobiel betalen en contactless payment?

pak je waardeZijn we toe aan mobiel betalen en contactless payment?

 

Context

Al een decennium hangt het perspectief van simpel betalen met je mobieltje boven de markt. Het lijkt me een geweldig idee maar als we dit gaan doen moet het ook wel veilig en goed gebeuren. Inderdaad, je mobieltje heb je altijd bij je. Kortom, een praktische gedachte om ook betalen via je mobieltje te laten lopen via ‘swipen’ door je kaart langs een antenne te halen zoals we dit  we dit ook met de OV chip kaar doen.. Ik heb eens een aantal recente bronnen op een rijtje gezet om te kijken hoe het er mee staat. Aanleiding voor mij om dit te doen is dat recent ABNAMRO en ING de introductie van contactless payment in Nederland hebben aangekondigd. Banken moeten natuurlijk wel wat doen in dit gebied. Anders worden ze voorbijgelopen door Microsoft, Apple, Google en telco’s en zijn ze niet meer nodig.

Wat is mobiel betalen?

Bij mobiel betalen gebruik je je smartphone om de betaal informatie bij de kassa achter te laten. Dat kan op dit moment op drie manieren.

–          Via een QR code de betaalmogelijkheid van de winkel activeren. Via een pincode geef je toestemming. Dit is een soort digitale variant van machtigen. Starbucks is er het voorbeeld van.

–          Via je smartphone naar de site van de bank via een ‘app’ en internetbankieren via je smartphone. Bij de meeste Nederlandse banken kan dit nu zij het dat er veel gedoe rond security mee is geweest

–          Via ‘swipen’, net als bij de OV chipkaart je mobiel tegen een schermpje aanhouden en je geld is afgeschreven. (contactless payment)

Bij swipen speelt de NFC chip een cruciale rol. De techniek is in principe het zelfde als bij de OV chip kaart.

Er bestaan verschillende, niet uitwisselbare, technische standaarden op dit moment voor swipen. 95% van de markt gebruikt de door credit card maatschappijen geïntroduceerde technologie.  Zie voor technische informatie de geraadpleegde bronnen zoals hieronder vermeld. Overigens kan het nog wel een paar jaar duren voordat deze markt technologisch gestandaardiseerd is.

Ik richt me in dit artikel met name op swipen.

Business Logica voor de financiële instellingen

Waarom is contactless payment interessant voor banken en credit card maatschappijen? Uiteindelijk is het business model voor de banken en andere financiële instellingen dat ‘swipen’ betalen gemakkelijker maakt, en wellicht leuker,  en dat dus het aantal transacties zal toenemen. Daar verdienen financiële instellingen aan. Wie die toeneming van de transacties zal betalen is me nog niet helemaal duidelijk maar het ziet er naar uit dat vooral de ‘winkeliers’ dit gaan doen in de visie van de bank.

Het is in ieder geval duidelijk dat door de introductie van dit nieuwe betalingskanaal geen bestaande kanalen kunnen worden uitgezet. Het aantal transacties zal dus in ieder geval fors omhoog moeten wil dit een rendabele zaak kunnen zijn voor financiële instellingen.

Mobiel is dus eigenlijk de voortzetting van het klassieke business model van banken waarin ze uiteindelijk verdienen door transacties en door ‘traffic’ in hun rekencentrum. Een soort levensduurverlenging zeg maar. Er is echter een verschil hier met eerdere technologische vernieuwingen. De eerdere technologische vernieuwingen vervingen oud geld en administratieve handelingen door een elektronisch systeem. Ook al laat de bijbehorende infrastructuur nog wel even op zich wachten,  contactless payment lijkt toch eerder een verdringer voor bestaand elektronisch betalen en dus een kapitaalvernietiging.

Welk probleem lost mobiel betalen op?

Inspectie van de literatuur hierover laat zien dat deze vraag denk ik niet beantwoord is. Er hangen twee antwoorden in de lucht. Namelijk dat mobiel betalen gemakkelijker is dat swipen  ‘fun’ is. De literatuur over dit onderwerp heeft tot dusver een overwegend ‘advertorial’ karakter. De koppelingen naar CRM en aanvullende customer profiling klinken logisch vanuit de ondernemers en banken maar zijn vaag. Bovendien zit je hier in  juridisch schemergebied voor wat betreft privacy. Aan de andere kant, als je op google zoekt met de term ‘mobile payment’ kom je weinig  tegen wat voor de gebruiker handig is.

E-security

Recente informatie laat zien dat met name de volledig op swiping ingerichte cards niet secure zijn, bijvoorbeeld doordat er technologie beschikbaar is om de NFC straling tot op 13 meter afstand op te pikken via passieve NFC interceptie. Lek wil dan zeggen dat je met een eenvoudige laptop met antenne wandelend door de trein bij de volgende gegevens kan

–          NAW

–          Card nummer en expiratiedatum

–          Dump betalingshistorie

De ccv code ’vang’ je niet.

De vraag is natuurlijk of de incentive om mobieltjes te hacken hoog blijkt als mobiel betalen breed toegang vindt.  ‘Hackito ergo sum’. Het merendeel van de smartphones is overigens niet beveiligd op dit moment. Geen spyware, geen firewalls.

Achterliggend probleem is dat in algemene zin de (formele) verantwoordelijkheid voor informatie overdracht via mobieltjes niet helder is. Die is dus ook niet helder ingeval van mobiel betalen.  Wie is verantwoordelijk? De service provider? Degene die betaalt? Dit moet geregeld worden vooraf aan grootschalige implementatie.

Snappen we waar we mee bezig zijn?

Op basis van de informatie die ik daarover ken  lijkt het erop alsof, vanuit het oogpunt van e-security, niet volledig uitgerijpte technologie ten behoeve van mobiel betalen naar de consument wordt gebracht. Tegelijkertijd lijkt het erop dat banken een beweging maken om hun klanten meer te laten betalen als ze digitaal geplunderd worden, bij voorbeeld via het hierboven genoemde ‘mobiele skimmen’.  Ik vraag me wel eens af of de verantwoordelijke personen binnen financiële instellingen alsook de Autoriteit Financiële Markten, die toezicht houdt op onder meer de beschikbaarheid over een ordelijk betalingssysteem,  dit soort dingen weten? Of gaan we ook hier wachten op de hack van ‘Brenno’?

Weten de houders van betaalpunten dat ze straks door mobiel betalen waarschijnlijk meer moeten gaan betalen aan banken?

Slotopmerkingen

We hebben een hoop gedonder in Europa door banken die ‘too big to fail’ zijn. Voor die afhankelijkheid betalen we een hoge prijs en gelukkig ontstaan er zo langzamerhand alternatieven als crowd funding en social banking. De vraag die ik hier stel is of we als samenleving behoefte aan een nieuwe ontwikkeling als contactless payment  die ons opnieuw volledig afhankelijk maakt van financiële instellingen? Is dat niet tegen de maatschappelijke trend in? Is dit vanuit het oogpunt van risicobeheersing, een term goed bekend in bankkringen,  op dit moment wenselijk?

Natuurlijk is ‘swipen’ aantrekkelijk. Maar laten we dat pas gaan doen als het echt kan.  Waarom die die NFC niet eerst uitproberen op minder kritische omgevingen, bijvoorbeeld mobiele toegangskaarten. Op het moment dat persoonsgegevens en bankgegevens uitgewisseld worden dan moet de basis technologie stabiel en veilig zijn en moet geregeld zijn wie verantwoordelijk is voor wat. Dat is nog niet het geval.

 

 

 

Geraadpleegde bronnen:

http://www.eetimes.com/electronics-news/4216021/NFC-in-93-million-handsets-in-2011–says-IHS
http://siliconangle.com/blog/2011/06/08/mobile-payments-rid-the-world-of-plastic-50-billion-industry-by-2014/
http://www.paypass.com/performance_insights.html (maart 2011, 92 miljoen)
http://tomnoyes.wordpress.com/tag/pos/page/2/
http://tomnoyes.wordpress.com/2011/01/28/how-can-banks-win-in-payments/
http://www.mybanktracker.com/bank-news/2012/04/24/barclaycard-offer-nfc-sticker-millions-uk/
http://www.nfcworld.com/2012/04/19/315174/barclaycard-expands-quick-tap-nfc-service-and-offers-paytag-stickers-to-visa-credit-card-holders/
http://nfctimes.com/report/south-korea-takes-global-lead-nfc-rollouts-millions-phones-and-sims
http://en.wikipedia.org/wiki/EMV
http://en.wikipedia.org/wiki/PayWave#payWave
http://en.wikipedia.org/wiki/ExpressPay#ExpressPay
http://en.wikipedia.org/wiki/PayPass#PayPass

http://www.computable.nl/artikel/opinie/security/4370523/1276896/wennen-aan-cybercrime-kost-tijd.html

Hacking the NFC credit cards for fun and debit ; )] by Renaud Lifchitz
MasterCard and Visa are currently releasing new contactless credits cards worldwide. Payments can become faster, simpler and easier but are they becoming more secure? We have worked on such cards and found nearly no security. Partial card cloning and unsollicited payments are possible. Slides –
http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless- payments-insecurity.pdf
POC code –
http://code.google.com/p/readnfccc/

Video of talk – http://www.ustream.tv/recorded/21805507
=======
Banken willen risico verschuiven:
http://www.security.nl/artikel/40507/1/Banken_willen_eigen_risico_voor_internetbankieren.html
=======
Voorbeelden van negatieve nfc publiciteit:
http://webwereld.nl/nieuws/109978/miljoenen-nfc-bankpassen-lekken-data.html
http://www.nfc.cc/2012/04/02/android-app-reads-paypass-and-paywave-creditcards/
=======
NFC in Nederland:
http://innovatie.kennisnet.nl/nfc-hoe-staat-het-er-mee/
http://tweakers.net/nieuws/78506/nederlands-nfc-platform-uitgesteld-tot-voorjaar-2013.html

 

Leave a Reply