Codziennie tysiące ludzi na całym świecie płaci za zakupy kartą. Czasem trzeba włożyć ją do szczeliny urządzenia POS lub przeciągnąć przez czytnik i wpisać PIN. Zazwyczaj zbliżamy ją po prostu do terminala i zastanawiamy się jedynie, czy autoryzacja płatności się powiedzie. Co tak naprawdę dzieje się w ciągu tych kilku sekund oczekiwania? Od czego zależy powodzenie transakcji i na jakiej podstawie podejmowana jest ta decyzja? Przyjrzyjmy się temu bliżej.
Z pozoru wszystko wygląda bardzo prosto. Wyciągamy kartę, korzystamy z terminala i jeśli to konieczne potwierdzamy transakcję PIN-em lub podpisem. Parę sekund i jest decyzja: transakcja została zaakceptowana, bądź odrzucona. Na co dzień nie zastanawiamy się, jak to możliwe, że zbliżając kawałek plastiku do małego urządzenia, wszystko działa. W ułamku sekundy pobierana jest właściwa ilość środków z konta z naszego banku.
W rzeczywistości, by cała ta ekspresowa transakcja mogła dojść do skutku, musi być podzielona na etapy i przejść przez kilka „rąk”. Biorą w niej udział:
By możliwe było dokonanie takiej transakcji, konieczne jest zweryfikowanie danych na temat:
Sprzedawca musi upewnić się, czy nie upłynął termin ważności karty, czy jest ona aktywna i, czy osoba, która chce dokonać płatności, ma prawo się nią posługiwać.
Bank przesyła do organizacji płatniczej i agenta rozliczeniowego potwierdzenie, że transakcja może zostać wykonana, tzn. na koncie użytkownika jest wystarczająca ilość środków lub jest dostępny limit debetowy.
W skrócie autoryzacja transakcji kartą wygląda następująco: po sprawdzeniu stanu konta i zweryfikowaniu karty, bank zezwala na akceptację płatności lub odmawia jej przeprowadzenia.
Kiedy wkładamy kartę do terminala lub przeciągamy ja przez czytnik, rusza cała procedura autoryzacji. Już tutaj, urządzenie sprawdza numer karty i datę ważności oraz jest w stanie określić, czy jest ona aktywna.
Informacje z terminala są wysyłane do agenta rozliczeniowego. W tym momencie drukuje się tzw. slip, czyli początek pokwitowania z numerem karty, numerem rozliczeniowym punktu handlowo-usługowego i ewentualnie jego adresem.
Następnie, agent rozliczeniowy, korzystając z właściwej sieci informatycznej, przesyła te dane do organizacji płatniczej. Ten etap jest interpretowany jako pytanie, czy transakcja na daną kwotę jest możliwa do wykonania. Warto wiedzieć, że każda organizacja kartowa posługuje się niezależną siecią informatyczną (Mastercard –Banknet, Visa – Visanet).
Ostatecznej autoryzacji dokonuje instytucja finansowa, która wydała kartę (emitent). Bank odbiera informację od organizacji płatniczej i sprawdza, czy saldo na koncie klienta (lub limit zadłużenia) umożliwia pokrycie pełnej kwoty transakcji.
Jeśli klient ma zgromadzoną na rachunku wystarczającą ilość środków, by uregulować należność, emitent zezwala na dokonanie operacji. Przesyła do organizacji płatniczej specjalny kod autoryzacji, czyli ciąg liczb wygenerowany przez komputer (jeśli pojawią się one również na dowodzie płatności, oznacza to, że akceptant dokonał autoryzacji). W tym samym momencie bank blokuje na koncie klienta kwotę transakcji. Czym jest blokada pieniędzy na koncie powiązanym z kartą wyjaśniamy w osobnym artykule.
Na tym etapie, wydane przez nas pieniądze, nadal znajdują się na naszym rachunku. Nie oznacza to jednak, że możemy z nich ponownie skorzystać. Będą zablokowane do czasu, aż płatność zostanie rozliczona. Warto wiedzieć, że w tym procesie również biorą udział wszystkie podmioty odpowiedzialne za przebieg transakcji przy użyciu karty płatniczej. Właśnie dlatego czasem dochodzi do pomyłek (np. zwrot wydanych już środków) lub opóźnień w rozliczeniu.
By transakcja zakończyła się pomyślnie, dane autoryzacyjne przesyłane są w odwróconej kolejności, tj.:
W tym momencie posiadacz karty debetowej lub karty kredytowej musi wbić numer PIN i potwierdzić go zielonym przyciskiem. Jeśli PIN jest właściwy, transakcja zostanie zaakceptowana i wydrukuje się całe pokwitowanie.
Na rynku funkcjonuje coraz mniej kart, które wymagają zatwierdzenia płatności podpisem. Warto, jednak wiedzieć, że w tej sytuacji terminal najpierw drukuje pełne pokwitowanie, a dopiero potem klient składa na nim swój podpis. Sprzedawca musi stwierdzić, czy jest on zgodny z podpisem złożonym na odwrocie karty. Jeśli tak – zatwierdza płatność.
Jak widać, jedna transakcja przechodzi całkiem długą drogę w krótkim czasie. Zazwyczaj trwa to kilka sekund. Co ciekawe, w Polsce spotykany jest także trójstronny model płatności (wyżej opisaliśmy proces autoryzacji w systemie czterostronnym). Oznacza to, że, np. organizacja płatnicza lub emitent jest także wystawcą i agentem rozliczeniowym. Dzięki temu operacja jest jeszcze krótsza.
Gdy płacimy zbliżeniowo, terminal sam sprawdza, czy transakcja może być zaakceptowana. Nie łączy się z bankiem, by ustalić, czy klient dysponuje odpowiednimi środkami, by pokryć całą kwotę. Urządzenie odczytuje okres ważności karty, jej numer i specjalny „kod dynamiczny”, dzięki któremu możliwa jest autoryzacja płatności zbliżeniowych.
Taki proces ma miejsce, gdy kwota transakcji jest niższa niż 100 zł i nie przekroczymy limitu płatności zbliżeniowych dla konkretnego „plastiku”. W innym wypadku terminal poprosi o klasyczną autoryzację (z użyciem PIN-u lub złożeniem podpisu). W tym scenariuszu, zwykle obciążenie rachunku pojawia się dość szybko – pomimo przeprowadzania transakcji w trybie offline. Zwykle od kilku do kilkunastu minut.
Dodatkowo transakcje typu offline przeprowadzane są na pokładach samolotów (np. Wizzair czy Ryanair, gdy nie ma zasięgu sieci. W takim przypadku nasze konto będzie obciążone dopiero po lądowaniu samolotu. Jednak może się okazać, że nie będzie na nim wystarczających środków. W takim przypadku, sprzedawca nie będzie miał jak pobrać środków. Co ciekawe Wizzair/Ryanair nie akceptuje już kart Revolut, ze względu na liczne wyłudzenia. Zdarzały się przypadki oszustw na kwoty kilku tyś zł. Oszuści płacili kartami w trybie offline, jednak na koncie nie posiadali środków na pokrycie transakcji. W efekcie otrzymywali towar bez zapłaty.
Użytkownicy kart zbliżeniowych (zwłaszcza gdy było to nowością) mieli wątpliwości o bezpieczeństwo takich transakcji, np. czy jeśli niechcący karta znajdzie się blisko terminala, pieniądze nie zostaną pobrane z konta.
Byłoby to możliwe, np. gdyby klient stojący przy kasie przed nami nagle o czymś sobie przypomniał i oddalił się. Sprzedawca już wpisał kwotę i aktywował terminal, a my, niczego nieświadomi, stojąc z kartą w ręku w odległości 2 lub 4 cm od czytnika wybieramy gumę do żucia, lub batonik.
Jak widać, sytuacja teoretycznie jest możliwa, jednak musi spleść się sporo zbiegów okoliczności, by rzeczywiście mogła zaistnieć. Podsumowując, jeśli sprzedawca nie aktywuje terminala, możemy wymachiwać kartą w pobliżu czytnika, a transakcja zbliżeniowa nie dojdzie do skutku.
Z drugiej strony zdarzały się oszustwa na płatności zbliżeniowe. Model działania był prosty, złodziej posiada terminal i wbijał na nim niewielką kwotę np. 10 zł. Następnie podchodzi do nas i przykłada terminal w okolice naszych kieszeni. Płatność zostaje autoryzowana, a nasze konto obciążone kwotą 10 zł. Możemy nawet nie zauważyć tej transakcji na wyciągu
Kto raz wypróbuje transakcję z funkcją zbliżeniową, nie zechce z nich zrezygnować. Są dużo szybsze i wygodniejsze niż klasyczne płatności z użyciem karty. Również sprzedawcy doceniają je ze względu na niższe koszty utrzymania (nie muszą płacić za połączenia telekomunikacyjne z centrum autoryzacyjnym).
Korzystając z transakcji zbliżeniowych, warto bardziej kontrolować stan konta. Informacja o płatności nie dociera od razu do banku, przez co możemy wydać więcej, niż wynosi saldo na rachunku i znaleźć się „pod kreską”.
Każdy użytkownik karty choć raz spotkał się z komunikatem: „transakcja odrzucona” bądź „odmowa”. Zazwyczaj spodziewamy się takiej sytuacji, gdy, np. nie wiemy, czy mamy wystarczająco ilość środków na koncie i mimo to, decydujemy się użyć „plastiku” lub wpiszemy błędny PIN. Czasem, jednak jesteśmy mocno zaskoczeni. Musimy zrezygnować z zakupu lub w pośpiechu szukać alternatywnej metody płatności.
Oto najczęstsze przyczyny braku autoryzacji:
Widząc ile jest potencjalnych powodów braku autoryzacji, warto posiadać w swoim portfelu więcej niż jeden plastik. Dodatkowe konto wraz z kartą można założyć przy użyciu naszego rankingu kont osobistych. Warto wiedzieć, iż nie tylko karta może zostać zablokowana, również rachunki bankowe mogą zostać zablokowane. Poniżej bliżej przyjrzymy się wybranym sytuacjom.
Bank może odmówić transakcji kartą, kiedy na koncie jest mniej pieniędzy, niż zamierzamy wydać lub, gdy system uzna transakcję za nieuprawnioną (fraud). Jeśli sprzedawca otrzyma taki komunikat (zostanie wyświetlony na terminalu), powinien anulować operację i zatrzymać „plastik”. Takie działanie, choć dla nas nieprzyjemne, ma na celu zapewnienie bezpieczeństwa naszych oszczędności.
Kiedy może dojść do takiej sytuacji? Przypuśćmy, że nasza historia zakupowa nie zawierała do tej pory transakcji za granicą lub wydajemy jedynie drobne sumy. Nagle chcemy kupić zegarek za kilka tysięcy na drugim końcu świata albo zdecydujemy się w krótkim odstępie czasu na zakup smartfonów dla siebie i swoich bliskich. Wówczas system autoryzacyjny banku stwierdzi, że transakcje są podejrzane i karta mogła paść łupem złodzieja.
Dlatego, jeśli czeka nas zagraniczny wyjazd lub planujemy w ciągu kilku dni większe niż zwykle zakupy, warto poinformować o tym bank, by uniknąć przykrej niespodzianki.
Akceptant przed przyjęciem płatności powinien upewnić się, czy:
Łatwo zauważyć, że w praktyce rzadko kiedy sprzedawca tak wnikliwie przygląda się karcie, którą dysponuje klient. Mimo wszystko warto wiedzieć, że jeśli coś zaniepokoi akceptanta, ten ma prawo odmówić przeprowadzenia transakcji i poprosić o okazanie dokumentu tożsamości. Powinien on również poinformować o zaistniałej sytuacji agenta rozliczeniowego.
Przy każdej płatności terminal sprawdza wykaz kart skradzionych i zastrzeżonych (stop lista). Urządzenie POS może zablokować płatność, jeśli okaże się, że numer danej karty widnieje na takiej liście. Wówczas zatrzyma on transakcję, a na ekranie pojawi się odpowiedni komunikat dla sprzedawcy.
Obecnie musimy pamiętać mnóstwo haseł, czy kodów. Nic dziwnego, że czasem coś nam wyleci z głowy lub z rozpędu pomylimy cyferki. O ile jedna pomyłka nie przysporzy kłopotów, to trzecia z rzędu już tak. Jeśli 3 razy wpiszemy błędny PIN, na ekranie terminala wyświetli się komunikat: „Zatrzymać kartę”. W takim wypadku sprzedawca, jest uprawniony do:
To, która procedura zostanie wdrożona, zależy od umowy z agentem rozliczeniowym i zasad bezpieczeństwa, jakie dany operator stosuje.
Protokół zatrzymania karty musi zawierać:
W przypadku transakcji nieweryfikowanych PIN-em akceptant powinien porównać podpis na odwrocie „plastiku” ze złożonym przez klienta na pokwitowaniu oraz sprawdzić, czy wydrukowany na rachunku numer zgadza się z numerem karty.
Zapewne nie raz spotkała nas sytuacja, że pomimo odrzucenia płatność, bank pobrał środki z rachunku. W rzeczywistości bank nie pobrał środków tylko je zablokował. W tym scenariuszu, w ciągu maksymalnie 72 godziny (zwykle mniej niż 24h), pieniądze zostaną odblokowane i będziemy mogli z nich ponownie korzystać. Więcej o samym mechanizmie blokowania środków i tego typu sytuacjach przeczytacie w dedykowanym artykule.
Jak widać, płatność kartą to nie jest jedynie sprawa między klientem a sprzedawcą. W zależności od rodzaju karty (stykowa, bezstykowa) uczestniczy w niej nawet 5 podmiotów. I choć cała operacja trwa zaledwie kilka sekund, przechodzi w tym czasie przez kilka etapów. W przypadku płatności online, w procesie może wystąpić jeszcze autoryzacja 3D secure.
W przypadku płatności bezstykowych proces autoryzacji jest uproszczony. Dlatego, jeśli zorientujemy się, że karta z aktywną funkcją zbliżeniową mogła wpaść w niepowołane ręce, trzeba natychmiast ją zastrzec. Jeśli tego nie zrobimy, nieuczciwy znalazca może bez problemu robić nią zakupy do 100 złotych bez podawania PIN-u.
Warto również pamiętać o tym, by nie używać zniszczonego lub uszkodzonego „plastiku” i informować bank o, nietypowych dla naszej historii zakupowej, krokach finansowych. A jeśli już dwa razy wpisaliśmy błędny PIN i nie jesteśmy pewni, że trzecia próba się powiedzie, lepiej zrezygnować z zakupów lub poszukać innej metody płatności. Pozwoli to uniknąć wstrzymania autoryzacji płatności kartą, zablokowania karty lub – co gorsza – jej odebrania i zniszczenia na oczach naszych i innych klientów.
FAQ
Autoryzacja transakcji kartą jest to proces zatwierdzania wybranej płatności – przed wystąpieniem samej autoryzacji, płatność musi być zainicjowana (np. poprzez zbliżenie karty do terminalu). Następnie proces polega m.in. na weryfikacji danych karty (ważności, pin itp.) czy odpytaniu banku o akceptację płatności (bank weryfikuję kompletność danych, niezbędną ilość posiadanych środków itp.). Więcej o procesie w naszym artykule.
Zwykle oznacza to odrzucenie wybranej operacji przez terminal płatniczy czy bankomat. Powodów takiej sytuacji może być przynajmniej kilka – od błędnego pinu, po brak środków czy awarię terminala/bankomatu. Wszystkie te kwestie opisaliśmy w naszym artykule.
Zwykle takie terminale działają w miejscach, gdzie nie ma zasięgu np. na pokładach samolotów czy w mało dostępnych miejscach. W takim scenariuszu transakcja jest zatwierdzana bez połączenia z bankiem czy agentem rozliczeniowy. Płatność trafia dopiero do systemu w momencie nawiązania połączenia przez terminal (np. po wylądowaniu samolotu).
Taki komunikat oznacza, iż sprzedawca powinien zatrzymać naszą kartę. Powodów takiego komunikatu może być przynajmniej kilka np. upłynął termin ważności karty,
Taki komunikat zwykle wiąże się z odrzuconą transakcją w bankomacie. Powodów może być przynajmniej kilka – od braku wystarczających środków na rachunku, po przekroczone limity transakcji czy błędny pin.