סליקה – מאמר 3 (עולם ה- EMV)

מאמר מס' 3 בסדרה שלנו על סליקה עבור בעלי עסקים.

עד כה

במאמרים הקודמים הכרנו את השוק בכלליות וכיצד הוא עובד, הסולקים והמותגים, את ייחודו של שוק כרטיסי האשראי הישראלי ואת סוגי העסקאות הבולטות שבו. הכל בשילוב טיפים לחיסכון עבורכם.

הפעם נצלול יותר לעומק למושג של עסקה במסמך חסר ולאופן שבו תקן ה- EMV משפיע עלינו.

עסקה במסמך חסר

עסקה במסמך חסר, הנקראת גם עסקה שאינה אלקטרונית או עסקת CNP (כרטיס אינו נוכח – Card Not Present) היא לא סוג עסקה ייחודי כמו עסקת קרדיט או עסקת תשלומים אלא ההשפעה המהותית להבדל באופן ביצוע העסקה שזה בגדול: האם כרטיס האשראי עבר פיזית בשפתיים של מכשיר סליקה או לא.

מכאן שיכולה להיות עסקת CNP רגילה, עסקת CNP תשלומים, עסקת CNP בחיוב מיידי וכדומה.

היסטורית, עסקה בה הכרטיס לא היה נוכח נחשבה למסוכנת יותר מאחר והיה קל יותר לבצע הונאות בעסקאות כאלה, כאשר המוכר לא יכול לאמת שמבצע העסקה הוא אכן מחזיק הכרטיס, מה שפותח את הדלת לשלל בעיות שיכולות להוביל להכחשת עסקה מצד מחזיק הכרטיס. המשמעות היא שבמידה והעסקה אושרה אולם לאחר מכן מובן שהיא לא נעשתה על ידי מחזיק הכרטיס, מישהו צריך לשאת בעלות העסקה. על מנגנון הכחשת עסקה (מה שמכונה Chargeback או בקיצור CHB) נדבר במאמרים הבאים.

לענייננו, מאחר וסולק העסקה אישר אותה, במידה ויש הכחשה, הוא נושא באחריות לזכות את מחזיק הכרטיס. מאחר והסולק לא פראייר, הוא לא יאשר את העסקה לפני שיקבל אישור ממנפיק הכרטיס, דהיינו הסולק יעביר אליו את האחריות. המנפיק רואה באחריות הזו סיכון עודף על פני עסקה בה הזיהוי של מחזיק הכרטיס מבוצע באופן פיזי ובזמנו גם בצדק. בכלכלה אין מתנות חינם ולכן כשהסיכון עולה גם הפיצוי הנדרש עולה.

עד 2012, גם הרגולטור ראה כך את הדברים ואכן עד אז בכל עסקה במסמך חסר, הייתה תוספת של 0.15% בעמלת המנפיק, כדי לפצות אותו על הסיכון הנוסף. מאחר כאמור עמלת המנפיק היא העלות הגולמית של הסולק (כפי שהוסבר כאן), גם הסולק קבע בתעריפון שלו תוספת של 0.3% לכל עסקת CNP, כלומר פי 2 יותר מהעלות שהתווספה לו, כך שבעצם עסקת CNP הייתה עבורו אפילו יותר רווחית.

טיפ לחסכון 8 : בדקו האם יש לכם בהסכם הסליקה תוספת בגין עסקה במסמך חסר (עשויה להיקרא גם תוספת ש.א). אם כן – פנו עוד היום לסולק שלכם ובטלו אותה. העילה בגינה היא נגבתה בזמנו כבר לא קיימת בפועל. אם אתם רק מתקשרים עם חב' סליקה – וודאו שהתוספת בגין עסקה זו שקיימת כברירת מחדל – מבוטלת עבורכם.

עולם ה- EMV

בעבר היו עסקאות במסמך חסר נפוצות דרך הטלפון ("הלו? אני רוצה להזמין פיצה!") או אפילו בדואר והן היו מועטות ביחס לעסקאות פיזיות. כיום, עסקאות במסמך חסר כבר מהוות נתח גדול מכלל העסקאות בעולם כאשר העסקה הנפוצה ביותר במסמך חסר היא כמובן עסקה אינטרנטית, שם אין מפגש פיזי בין קונה למוכר ואנו כצרכנים רק נדרשים להזין את מס' האשראי שלנו. אם כן, מדוע למרות שיש עלייה בהיקף העסקאות "מסוכנות" יש דווקא ירידה עקבית בהיקפי ההונאות[1]?

הכירו את עולם ה- EMV.

EMV הוא שם כולל לתקן אבטחה של סליקה חכמה יותר של עסקאות אשראי אשר החלה בעיקר בעולם הפיזי אבל כיום היא מהווה כינוי גנרי (כמו שג'יפ הוא שם גנרי לרכבי שטח) לתקנים גבוהים לאבטחת תשלום בכרטיס אשראי. EMV ייצג בעבר את ראשי התיבות Europay Mastercard Visa, שלושת החברות שייסדו את התקן. התקן מתייחס בעיקר ל- 3 סוגי העסקאות הנפוצות בעולם: עסקה פיזית, עסקה ללא מגע (הנקראת Contactless או NFC = Near Field Communication) וגם עסקאות אינטרנטיות במסמך חסר. על מנת לעמוד בתקן, הכרטיסים המונפקים צריכים להיות "חכמים" מה שמתבטא בשבב שהחל להופיע על כרטיס האשראי[2] לפני מספר שנים וכיום מהווה סטנדרט.

כיצד התקן דואג שהעסקאות יהיו מאובטחות יותר?

• בעסקה פיזית – בוצע מעבר לעסקת אשראי מאובטחת יותר על ידי שילוב של 2 אלמנטים שונים המעידים על אותנטיות מבצע העסקה, עוד לפני שהיא בכלל עולה לאישור על ידי הסולק. תהליך זה נקרא גם 2-step authentication.
• בעסקת Contactless – בעסקה כזו, המבוצעת לרוב במקרים בהם נדרשת עסקה מהירה יחסית כגון בעת העלייה לכלי תחבורה ציבורית, נתוני הכרטיס מועברים לנקודת המכירה על ידי גלי רדיו דרך השבב המוטמע בכרטיס אשר מכיל אלגוריתם אבטחה מוצפן. חב' הסליקה מתייחסת לעסקות אלו מראש באופן שונה וחלות עליהן כללים מיוחדים של תדירות, גודל וכדומה. מאחר ועסקאות אלו פחות נפוצות בציבור הרחב ברחיב פחות על סוג זה כאן.
• בעסקה במסמך חסר – כאן האבטחה משתנה בין מנפיק בינלאומי למשנהו אולם כולן מתכנסות לוריאציה כזו או אחרת של שיטת האבטחה בשלושה מימדים – 3Dsecure. על שני מימדים בשיטה הזו לא נרחיב (לסולק ולמנפיק יש מידע רב יותר אשר מקל עליהם לזהות האם מדובר בהונאה או לא) אולם השינוי הבולט הוא במימד של מחזיק הכרטיס, אשר מקבל דרישה להזין סיסמא חד פעמית אשר נשלחת אליו במייל או ב- SMS ותקפה לזמן קצר בלבד. כל זאת מבוצע לתוך דף תשלום המחובר ישירות למחשבי הבנק/מנפיק כאשר בית העסק לא חשוף אליו. באופן זה, לא ניתן לבצע עסקה כזו ללא ידיעת בעל הכרטיס, בית העסק לא חשוף לסיסמא והכרטיס לבדו לא מאפשר השלמה של העסקה מאחר והסיסמא נשלחת לנייד או למחשב שלנו, להם מתווספת בדרך כלל שכבת אבטחה נוספת בדמות אמצעי האבטחה הנדרשים בכניסה לאותם מכשירים.

איך בפועל סליקת EMV משפיעה על תהליך המכירה

כל מי ששילם בכרטיס אשראי בעולם המערבי בשנים האחרונות נתקל בזה. בעת החיוב במסעדה למשל, כשבארץ היינו רגילים לתת ללא חשש את כרטיס האשראי שלנו עם המסגרת הנדיבה למלצר שאנחנו לא מכירים אשר היה נעלם עם הכרטיס וחוזר עם הקבלה, המלצר האירופאי היה ניגש אלינו עם מסופון הסליקה, מבקש שנכניס את הכרטיס עם הצ'יפ פנימה ואז נקיש בסודיות את הקוד הסודי של הכרטיס, זה שהיה משמש אותנו למשיכת מזומן בכספומט.

מאחר והקוד הסודי לא רשום על הכרטיס וקבלתו כרוכה באמצעי זיהוי נוספים, הנ"ל מונע מהמלצר הנחמד לקפוץ לחנות הסמוכה, לרכוש לעצמו חפיסת סיגריות על חשבוננו ואז להחזיר לנו את הכרטיס כאילו לא ארע דבר. שימו לב שהנ"ל מצריך ממנפיק הכרטיס לייצרו עם השבב הנוסף וגם מבית העסק להחזיק בחומרה והתוכנה המתאימים לסליקת EMV.

הבעיה היא שמעשה גניבה פשוט כזה נמנע רק כאשר גם בפיצוציה הסמוכה בעל המקום מחויב לעבוד בתקן EMV ולכן הרגולטור בישראל החליט ליישר קו עם שאר העולם ולחייב מעבר של כלל השוק לסליקת EMV[3]. התהליך החל כבר לפני כמה שנים כאשר הרגולטור חייב את מנפיקי הכרטיסים ויצרני המסופים להתכונן ליום בו התקן יחל לפעול ולהיערך ברמתם. כעת, לאחר שגם הם ערוכים, בנק ישראל מתחיל להעביר את כלל השוק לסליקה לפי התקן. כדי להקל עליכם, זהו סיכום של התאריכים שעד אליהם אנו מחויבים בכל אחד מהשינויים:

עד תאריך	חובה על ידי בית העסק
30/11/2020	על כלל בתי העסק הפיזיים להיות מצוידים במסוף המותאם הן מבחינת החומרה והן מבחינת התוכנה.בתי עסק גדולים או שמצטרפים לראשונה לסליקה יסלקו רק בתקן EMV מלא, כלומר עם הזנת הקוד בן 4 הספרות.עסקאות במסמך חסר – רק לפי EMV.
31/07/2021	למעט חריגים[4], בכלל בתי העסק הפיזיים יסלקו רק בתקן EMV מלא, כלומר עם הזנת הקוד בן 4 הספרות. כנ"ל עסקאות במסמך חסר.
31/07/2022	תופסק התמיכה בטכנולוגיה הישנה לגמרי

טיפ לחסכון 9: לגזור ולשמור. למי שטרם עבר לחומרה ותוכנה מתאימים, כדאי כבר עכשיו לתכנן את המעבר ולעשות שופינג בין היצרנים מאחר ומעבר מוקדם עשוי לחסוך בעלויות. ככל שנתקרב למועד הקבוע בחוק, יצרני המסופים יוכלו לדרוש מחיר גבוה יותר וכושר המיקוח שלנו ייפגע.

טיפ לחסכון 10: המחירים לרכישה של מסוף תואם EMV יכולים להגיע לכמה אלפי שקלים (וגם כאן ניתן להתמקח ולהוריד עלויות ע"י טרייד אין על מכשיר הישן) אבל לרוב אפשר לשכור מכשיר כזה בעלות שיכולה לרדת גם לרק כמה עשרות שקלים לחודש. היתרונות בכך הם הגמישות במעבר בין היצרנים, יכולת לעבור לחבילה (באנדל) הכוללת סליקה כפי שכמה מהחברות כבר מציעות ויתרון נוסף שבדומה לליסינג של רכב, ככל שהטכנולוגיה תתקדם ותדרוש שדרוג, עלות החלפת המסוף לא תכביד עלינו. מומלץ לבדוק גם אצל יצרנים קטנים כגון I-PAY או זד-קרדיט.

איך ה- EMV ישפיע על בתי העסק

בנק ישראל בתחילה, לאור העלויות של רכישת מסוף חדש אשר בעצם מונחתות על עסקים קטנים, שקל לחייב את חברות הסליקה לשאת בעלות המעבר אולם הנושא היה הבעייתי מבחינת שמירה על התחרות (הנ"ל הותנה בכבילת בתי עסק לסולק המממן) ובצירוף מחאת החברות על העלויות האדירות בהן יצטרכו לשאת הובן שזה לא ישים. עקב כך, בנק ישראל החליט שהדרך לתמרץ את השוק למעבר לסליקת EMV היא דרך העברת אחריות לנזק לבית העסק[5]. הכוונה היא שעל כל עסקה שלא תסלק לפי EMV ותוכחש על ידי הלקוח (Chargeback, זוכרים?) או תוגדר כהונאה, הסולק לא יישא באחריות עליה ולכן אוטומטית בית העסק יישא בעלות הנזק. אם נקצין את זה, כל לקוח יוכל לרכוש מכם משהו ואז לצלצל לחב' האשראי ולומר שלא ביצע אותה. תוכלו לשלוח לסולק צילום שלו עושה שלום למצלמה תוך שהוא מחזיק תעודת זהות ועדיין בתיאוריה חב' הסליקה לא מחויבת לבדוק את הטענה שלכם – הלקוח יקבל החזר ואתם תפסידו כסף.

בעיות ופתרונן:

• "העלות של מסוף עשויה לעלות קצת עבורי" – נכון, המחירים בשוק המסופים כל הזמן יורדים ככל שהשוק מתייצב. בדיקה תקופתית של הנושא יכולה לחסוך לנו כסף.
• "שיעור הכשל של עסקות שלי יגדל, בדגש על עסקות מסמך חסר" – נכון, אבל שיעורי הנזק שלכם ירדו וגם תוכלו לפתוח ערוצי הפצה נוספים להגדלת מחזורי הפעילות בדגש על חנויות ונקודות מכירה אינטרנטיות ללא חשש של גידול בנזק.
• "אני עשוי להיות מחויב בעלות נוספת של שדרוג של תשתיות התקשורת לטובת המכשירים החדשים" – תשתיות התקשורת בארץ כל הזמן משתפרות והסטנדרט כיום של היקפי התעבורה שכולנו יכולים לקבל בעלות נמוכה היו דמיוניות רק לפני כמה שנים ובינינו, אם עד עכשיו לא סלקתם בגלל עלויות התקשורת אז זה לא מה שמונע מכם לעשות את זה עכשיו…
• "עסקות שהחלו לעשות אצלי באתר עשויות "להינטש" באמצע ע"י לקוחות לאור תהליך המכירה המתארך" – זו אכן הבעיה הלא מוחשית הכי בולטת אולם ככל שיעבור הזמן הלקוחות יתרגלו לכך מאחר ולא יהיו להן אלטרנטיבות כי אצל כולם זה יהיה ככה וכולנו נעבור בלית ברירה חינוך שוק.

טיפ לחסכון 11: ניתן לרכוש תוסף תואם לסליקת EMV המתחבר לקופה בעלות של כמה עשרות שקלים ובכך להימנע מהחלפת כל הקופה, דבר לא זול בכלל.

לסיכום

ה- EMV בדרך אלינו בין נרצה או לא. אנחנו צפויים לעבור את חבלי הלידה של יישור הקו מול שאר העולם אבל לאחר שהנ"ל יתייצב העלויות החודשיות יחזרו להיקפן הנוכחי ואולי אף ירדו לאחר יתאפשר לשחקנים חדשים מהעולם להיכנס לשוק המסופים. בנוסף, עלויות הנזק שאנו סופגים בעסקות כרטיסי אשראי יצטמצמו מאד באופן שידרבן את המשך הורדת עמלת המנפיק, כך שגם נשלם פחות על נזקים וגם עמלת הסליקה שאנו משלמים תרד.

מוזמנים לכתוב לנו שאלות בנושאי סליקה ועל נושאים שברצונכם לקבל מידע נוסף כבעלי עסקים הסולקים כרטיסי אשראי.

---

[1] ואכן כאמור תוספת זו של 0.15% בעמלת המנפיק בוטלה במאי 2012, כאשר גם הרגולטור הבין שההתמודדות עם נושא האבטחה של עסקאות אלו כבר מספקת דיה ואין בה סיכון עודף שמצדיק תוספת.

[2] מצ"ב סרטון קצר שמסביר על השבב (בעל כוח חישוב אדיר) – https://www.creditcards.com/credit-card-news/video-emv-cards.php

[3] הודעת בנק ישראל בנושא – https://www.boi.org.il/he/NewsAndPublications/PressReleases/Pages/27-11-19.aspx

[4] חוץ מעסקאות שנעשות במשאבות דלק וכן בבתי עסק שהיקף הפעילות שלהם בעסקאות מסמך חסר מהווה 90% או יותר מהמחזור של בית העסק בכרטיסי חיוב.

[5] https://www.boi.org.il/he/NewsAndPublications/PressReleases/Pages/22-10-18.aspx