Yüzyüze Satışlarda Kart Kullanımı Güvenlidir

Ödeme dünyasının henüz “online” olmadığı, kredi kartının “imprinter” denen bir alete  (o da kablosuzdu bu arada) yerleştirildiği, üzerine üç nüsha formun konulup, kartın üzerindeki kabarık kart numarası ve son kullanma tarihinin otokopik kağıt üzerine geçmesini sağlamak için mekanizmanın elle bir ileri bir geri hareket ettirildiği zamanlarda, ödeme güvenliği için sadece müşterinin imzasıyla kartın arkasındaki imzanın karşılaştırılması ve kimlik kontrolü aşaması vardı . Bir de işyeri sahibinin canı isterse kimbilir ne zamandan kalma kocaman bir kitapta kart numarasını arayıp kartın kayıp veya çalıntı olarak bildirilen kartlar arasında olmadığından emin olması gerekiyordu. Bütün bunların güvenlik açısından yeterli olmadığı ve alışverişin ciddi zaman aldığı elbette kabul ediliyordu ama başka bir çözüm de mümkün görünmüyordu. O zamanlarda kart sahteciliği de nihayetinde kart ve üye işyeri sayısının az olması sebebiyle çok revaçta değildi.

 

Sonra kabartma yazı yerine manyetik şeritle işlem yapan POS terminalleri çıktı ve online otorizasyon dönemi başladı. Ardından büyük bir adım geldi ve 2006 yılında EMV sayesinde Chip&Pin uygulamaya alındı (bu arada EMV çok teknolojik bir kısaltma gibi dursa da sadece Europay, Mastercard ve Visa işbirliğini temsil ediyor). Böylece hem manyetik alanın kopyalanmaya karşı korunması, hem de kart sahibinin bir şifreyle doğrulanması mümkün hale geldi. Artık kredi kartı kullanmak şifreyi kartın üstüne yazmadığınız sürece oldukça güvenliydi. Her ne kadar sektördekiler çipli kartların da kopyalanabileceğini söylese de, bu en azından küçük kötü adamlar için manyetik kartlara göre daha maliyetli ve uzak durulması gereken bir alan haline geldi.

 

Bu gelişmeyle birlikte yüzyüze işlemlerde kart sahteciliği örneğin İngiltere’de sadece 4-5 yıl içinde üçte bire düştü. Haliyle her açılım yeni maliyet ve yaygınlaşma için ciddi zaman gerektiriyordu. Hatta bazı uygulamaların yaygınlaşması gecikince kart şirketlerinin zorlamaları devreye girmeye başladı. Mastercard’ın üye işyeri ve bankalara sahtecilikten kaynaklı sorumluluğun rücu edilmesi tehdidiyle Ekim 2015’ten itibaren kademeli olarak EMV uyumunu dayatması buna örnek gösterilebilir. Buna göre ABD’de Ekim 2015’ten sonra (self servis akaryakıt istasyonları ve ATM’ler hariç) bankaların veya üye işyerlerinin sistemlerini EMV uyumlu hale getirmemeleri dolayısıyla oluşacak sahtecilik zararları, uyumda gecikmeye sebep olan tarafa yüklenecek.  ABD’de bir yılda kart sahteciliğinden doğan zararın 8,6 milyar USD olduğu ve bu rakamın EMV uyumu için gerekli yatırım tutarına eşit olduğu gözönünde bulundurulunca kart şirketlerinin bu tür bir zorlamaya girişmesi makul karşılanmalıdır.

 

EMV uyumu için çabalar devam ederken, bir taraftan özellikle güvenlik ve mahremiyet konusunda geliştirmeler devam ediyor. ApplePay bu konuda çıtayı bir kademe yukarı çekti, arkası da muhtemelen gelecektir. ApplePay’in parmak izi ile doğrulama bir tarafa (çünkü parmak izi şu an için tek başına bir doğrulama değil ilave güvenlik olarak düşünülmeli), özellikle ‘tokenization’ adımı ile (anladığım kadarıyla kart numarasının alakasız başka bir numaraya dönüştürülmesi ve dönüştürülen bu alakasız numara sayesinde gerçek kart bilgisinin bankaya ulaşana kadar başkalarının işine yaramasının önüne geçilmesi) ABD’de Target ve Home Depot gibi büyük mağaza zincirlerinin başına geldiği gibi, şirketlerin tuttuğu kart bilgilerini iyi koruyamaması nedeniyle milyonlarca kart sahibinin güvenliğini tehlikeye atması önlenebilecektir. Bu sistemde satıcıda kart bilgisi tutulmadığı için kart, hesap ve alışveriş bilgileri de sadece ait olduğu yerde yani bankada saklanıyor olacaktır.

 

ApplePay gibi halen biyometrik doğrulama uygulamalarını geliştirip kitlelere ulaştırmayı hedefleyen Mastercard’ın üzerinde çalıştığı ses ve yüz tanımayı da içeren doğrulama çözümleri kartlı ödemeleri daha da güvenli hale getirecektir. Ancak Mastercard’ın bu alanda mevcutta çok iyi gibi görünen %98 seviyesinde doğruluğa erişmiş olmasının, bu haliyle uygulansa milyonlarca işlem içinde çok fazla hata anlamına geleceği, mükemmele ulaşması beklenirse de kalan %2’nin tamamlanmasının belki projede bugüne kadar geçen süre kadar daha zaman isteyeceği dikkate alınmalıdır. Ancak eninde sonunda bu adım da hayata geçirilecektir.

 

Ondan sonra da artık bu kadar tedbire rağmen güvenlik kaygısıyla kart kullanmamakta direnen insanlar olursa, onları da dondurup yüz sene sonra uyandırılmak üzere saklayabiliriz.

İNTERNETTEN ALIŞVERİŞE DAİR

Online alışverişteki artışa etken olan hususlardan biri kuşkusuz internette fiyatların daha uygun oluşudur. Standart mallarda ve özellikle elektronikte fiyat, taksit imkanı ve teslimat şartları dışında satın alma kararımızı etkileyecek bir faktör bulunmadığından, bu tür malları internetten almak bize cazip geliyor. Artık bir malı internetten almayacak olsak dahi internetteki fiyatını öğrenmek için önce fiyat karşılaştırma sitelerine bakıyoruz. Bununla ilgili güzel barkod uygulamaları da var. İnternette daha ucuza bulduğumuz bir malı mağazadan mı internetten mi almalıyım diye düşünürken “üç gün beklemek istiyor muyum, kargosuyla da şu fiyata gelir” şeklinde ayak üstü basit bir hesap yaparak karar veriyoruz. Hele bir de istediğimiz uzakta birine hediye almaksa, online alışverişten kolayı yok gerçekten. Bu noktada pazarlık yapmayı sevenler için de bir çözüm güzel olurdu. Geçenlerde bir alışveriş sitesi reklamında böyle bir şey görmüştüm.

 

Standart olmayan, örneğin giyim alışverişlerinde de alıcılar kendilerine bir yöntem buldular. İnsanlar gidip mağazadan model, renk ve bedeni beğeniyor sonra internetten o elbise veya ayakkabıyı sipariş ediyorlar. Bu durumda ilginç bir şey ortaya çıkıyor, AVM’deki mağaza birden internetteki mağazanın deneme kabini oluveriyor. Bu AVM Mağazaları için istenmeyen bir durum tabi ki. “Bu tam üstüme oldu, rengini de beğendim. Tamam bunu almıyorum, iyi günler.” diyen bir müşteri kitlesine hizmet veriyorlar. Malı satamamakla kalmayıp bir de kendisine faydası olmayan bir müşteri için sabit gider ödemek durumunda kalıyorlar. Bütün mağazalar ana şirketinse çok sorun olmuyor ama franchise türü bir işletme açısından bu ciddi bir sorun. Mağazalar yakında bu konuyla ilgili olarak bayrak açarlar diye tahmin ediyorum. Burada bir iş modeli olarak bir internet mağazasının AVM’lere yüzyüze satış yapmayan, kıyafet denemesi yapabileceğiniz, beden ölçebileceğiniz, kıyafeti üzerinizde görebileceğiniz ve isterseniz internet üzerinden sipariş verebileceğiniz sanal giyinme odaları veya ‘booth’ tabir edilebilecek alanlar oluşturması aklıma geliyor. Üç boyutlu vücut tarama ile  kıyafeti her yönden üzerinizde görebileceğiniz sanal uygulamalara ait iyi örnekleri internette görebilirsiniz. Dükkan yerine sinema fuayesinin bir köşesinde açık bir deneme odası ilgimi çekerdi diye düşünüyorum.

 

Online alışverişi etkileyen diğer bir etmen de ödeme şeklidir. İşin doğası gereği malı görmeden parayı vermek ticarette alıcı açısından en riskli satın alma yöntemidir. Bu risk en bariz olarak dış ticarette kendini gösterir. Malın hiç gelmemesi, beklediğiniz zamanda gelmemesi veya gelen malın beklediğiniz kalitede olmaması elbette büyük bir risktir. Burada en önemli faktör satıcının güvenilirliğidir. Bunun için genelde şikayet sitelerini dolaşıp hakkında münferit olaylar dışında ciddi ve sistematik vakalar bildirilmeyen ve müşteri hizmetlerine ağırlık veren sitelere veya en azından yıllardır kendini kanıtlamış büyük şirketlere yöneliyoruz.

 

Öte yandan diğer bir risk, kartlı ödemelerde yaşanabilecek güvenlik riskidir. Bu riski bertaraf edecek ve belki de daha önemlisi müşteri tarafındaki risk algısını olumlu yönde değiştirecek kullanışlı çözümler geliştirilmeye ve yaygınlaşmaya devam ediyor. Önceleri limitini istediğiniz şekilde kontrol edebildiğiniz sanal kartların sunulması, yüksek limitli kartlarla internetten mal almanın getirdiği riski ortadan kaldırmış ve risk duygusu gelişmiş müşterilerin bu mecraya kaymasına yardımcı olmuştu. ‘3D Secure’ ise çok pratik olmaması dolayısıyla başlarda kullanıcıyı rahatsız etmiş olsa da nihayetinde kabul görmüştür. Gerçi kart sahibi bütün kart bilgilerini verdikten sonra son aşamada bankanın ‘3D Secure’ bağlantısına yönlendirilmek, kart bilgilerinin kötü niyetli kişilerin eline geçmesini hiçbir şekilde engellemese de, en azından şifre girişiyle kimlik doğrulanmadan mal bedelinin karttan çekilmesi önlenmiş oluyor.

 

Elektronik cüzdanlar ise sorunun köklü çözümüne hem güvenlik hem de hız açısından pozitif katkı sağlıyor. Bu konuda BKMExpress'in uluslararası takdir gören uygulamalarını gururla izliyoruz. Dünyada bu kadar yankı bulan ve parmakla gösterilen bir uygulamanın yurtiçinde bu kadar yavaş büyümesine de açıkçası anlam veremiyorum. İnsanda kullanırken “Bir dakika! Bu kadar da basit olamaz.” dedirten bir uygulamadan bahsediyorum. Bankalararası Kart Merkezi’nin aslında bana kalırsa hiç de üzerine vazife olmayan bir işi risk alarak gerçekleştirmesi ve bunda başarı sağlaması, Ülkemiz açısından örnek gösterilmesi gereken bir başarı öyküsüdür.

GÖKTEN ÜÇ ELMA DÜŞMÜŞ

Apple nihayet yeni telefonunu ve bu telefonla entegre akıllı saatini ve Apple Pay adını verdiği kendince yeni ödeme sistemini tanıttı. Piyasaya bomba gibi düşmesi beklenen tanıtım, maalesef birçoklarını hayal kırıklığına uğrattı.

Anlaşılan Steve Jobs, gelirken getirdiği vizyon ve yenilikçilik ruhunu giderken yanında götürmüştü. Tim Cook bu lansmanda inovasyon olarak adlandırılabilecek herhangi bir yenilik gösteremedi. Gördüğümüz sadece daha iyi bir telefon, daha iyi bir dijital saat ve belki biraz daha iyi bir ödeme sistemiydi. Tim Cook, şirketi Jobs’un gölgesinden kurtarmak ve Apple’ın onsuz da başarılı olabileceğini göstermek istiyor gibiydi. Yeni ürünlere verilen isimlerde de bunu görebiliyoruz. iPod, iPhone, iPad, iMac, iTunes ile artık çok önemli bir marka haline gelen “i-” konsepti yerine şirket ismini ve logosunu ön plana çıkaran Apple Watch ve Apple Pay isimlerini seçmesi bunun bir göstergesiydi. Halbuki bütün piyasa yeni ürünlere iWatch ve iPay/iWallet denmesini bekliyordu.

Yeni telefon ve saat teknoloji meraklılarının mutlaka ilgisini çekecektir. Samsung ve Sony gibi markaların peşinden kocaman ekranlı bir telefon yapan Apple, bunları satın alacak ve hatta kendi başına bir işe yaramayan dijital bir saate o kadar para vermek isteyecek birilerini de mutlaka bulacaktır. Buna kimsenin diyecek birşeyi de yoktur. Beni asıl ilgilendiren Apple Pay.

Apple Pay, anladığımız kadarıyla güvenlik ve kişisel bilgilerin korunması konularında gelişmiş bir cüzdan uygulamasıdır. Kart bilgisini telefonda veya Apple sunucularında tutmaması,  Apple’ın alışverişle ilgili bilgileri saklamaması (onlar öyle söylüyor ama in-app satın alımlarda bunu nasıl sağlayacaklar meraktayım) bu konularda hassas insanlar açısından önemli artılardır. Telefonun kaybolması halinde devreye giren koruma tedbirleri de insanları rahatlatabilir. Bu konuda tabi henüz yanıtlanmamış epey soru var. Muhtemelen bazılarının cevabını kendileri de henüz bilmiyordur.

Tarif edildiği kadarıyla kullanıcı açısından sistem şöyle işleyecek: Kartımızın resmini çekerek kart bilgilerini Passbook uygulamasına yükleyeceğiz, sonra POS cihazı uygun bir markete gideceğiz, telefonu POS cihazına tutacağız ve parmağımızı telefonun parmak izi tarayan alanına yerleştirip ses gelene kadar bekleyeceğiz. Böylece kasada cebimizden cüzdanımızı çıkarma zahmetinden kurtulacağız. Ayrıca istersek Apple saatini kullanarak da ödeme yapacağız. Saatimiz varsa iPhone5 ve türevleriyle de Apple Pay kullanabileceğiz, ama bu sefer telefondaki parmak izi doğrulamasını kullanmamış olacağız. Gerçi kullanacağız, yapacağız diyoruz da sistemin Türkiye’ye ne zaman geleceğini, ürünün ömrünün buna yetip yetmeyeceğini bilmiyoruz.

Bu kadar kolaylık ve güvenlik kulağa hoş geliyor açıkçası. Fakat Apple Pay gibi bir cüzdan uygulaması kullanıyor olsanız da fiziki cüzdanınızı evde bırakmanız tavsiye edilmez, çünkü telefonunuzun bataryası bitebilir veya bulunduğunuz yerde internet bağlantısı olmayabilir. Bu tür durumlar için yine bir kredi kartı ve hatta bir miktar nakit taşımak gerekecek, ama taşıdığınız kart sayısını azaltarak cüzdanınızı hafifletmekte işe yarayacaktır.

Ben bir tüketici olarak yüzyüze alışverişte kart kullanımı yerine yeni bir alternatife ihtiyaç duymuyorum. Kart kullanmayı da seviyorum ve yeterince güvenli ve kolay buluyorum. Asıl ihtiyacım internetten alışverişte kart bilgilerimi koruyarak güvenli alış veriş yapmak. Bunu da Türkiye’de BKM Express ile yapabiliyorum. BKM Express yaygınlaştıkça o tarafta da başka bir alternatife ihtiyacımın olmayacağını düşünüyorum. Apple Pay uygulamasının da, nasıl diyorlar “ödemeler ekosistemi” içinde kendi müşteri kitlesini oluşturmasını bekleyeceğiz.

Esasen sistemin yaygınlaşması bankaların ve kart şirketlerinin sisteme dahil olmaları, satış noktalarının POS cihazlarını uyumlu hale getirmeleri ve iPhone/iPad için uygulama geliştiren şirketlerin uygulamalarını Apple Pay kullanmak üzere güncellemeleri gibi çok sayıda hayati dış faktöre bağlı. Ayrıca cihazların yüksek fiyatları sebebiyle insanların sadece Apple Pay kullanmak için Apple ürünlerine yönelmelerini de kimse beklemiyor. Fakat mevcut Apple hayranları tarafından kullanılacağı kuşkusuz. Ama bu grubun sayısının ödemeler dünyasını alt üst edecek seviyelere ulaşması şu an için mümkün görünmüyor. Google Wallet ile başarısızlık yaşayan Android dünyasının yeni hamlesini merakla bekliyor olacağız.