Elektronisch betalen raakt uit de kinderziektes

9 september 1999
Het kopen van producten via Internet is ingewikkeld, fraudegevoelig en onveilig. Voor je het weet gaat een crimineel er met je creditcardnummer en je geld vandoor. Dat is het beeld dat veel mensen hebben van ’virtueel winkelen’ op het World Wide Web. Met hun betaalsysteem
I-Pay, opgetuigd met het SET-beveiligingsprotocol, denken de banken die bezorgdheid te kunnen wegnemen.

I-Pay bestaat in zijn oervorm al een jaar of drie. Ondanks de Engels klinkende naam is het een puur Nederlands systeem, bedacht door de verzamelde banken. De interbancaire organisatie Interpay begon eind 1994 met een onderzoek naar de ontluikende handel op Internet. Daarbij werd gekeken naar diverse betaalsystemen die in het buitenland al bestonden of in ontwikkeling waren.
Uiteindelijk besloten de banken een proef uit te voeren met een syteem op basis van de zogenaamde IKP-protocollen, die waren ontwikkeld in de laboratoria van IBM in Zürich. Medio 1996 begon het experiment met de werving van minstens tienduizend bank- en girorekeninghouders die bereid waren I-Pay uit te proberen. Aanvankelijk liep het niet echt storm, maar na verloop van tijd wisten de banken toch zo’n 16.000 deelnemers te werven.
Veel te winkelen viel er voor al die nieuwsgierige consumenten helaas niet, zeker niet in het begin. Het aantal deelnemende leveranciers viel de proefpersonen tegen. Ook wilde het nogal eens lang duren voordat een besteld artikel werd thuisbezorgd. Gaandeweg groeide het aanbod wel wat en kregen de winkeliers meer ervaring met het elektronisch afhandelen van bestellingen. Doordat I-Pay-oude stijl alleen in Nederland werkte en de populairste webwinkels in Noord-Amerika zitten, bleef de bruikbaarheid van het systeem beperkt.
Een ander struikelblok was de eis dat de gebruiker een aparte rekening opende, een soort werkkapitaal waarmee vervolgens aankopen konden worden betaald. Rechtstreeks betalen ten laste van het saldo van de eigen bank- of girorekening kon niet. Wel voegden de banken halverwege de proef de mogelijkheid toe om aankopen met een creditcard te voldoen.
Goed beveiligd was het systeem in elk geval wel. Zelfs zó goed, dat een gebruiker die een andere PC aanschafte, een nieuwe harddisk inbouwde of zijn besturingssysteem opnieuw installeerde, de hele (omslachtige) aanmeldingsprocedure kon overdoen. De banken hadden zich enigszins verkeken op de ijver waarmee veel proefpersonen – vaak doorgewinterde PC-gebruikers – hun systemen opwaardeerden.

Succes
Ondanks alle beperkingen beschouwt Fred Stolk, manager productinnovatie van Interpay, de eerste generatie van I-Pay toch als een succes. „De proef was er vooral om te kijken of we zo’n systeem op een open netwerk, dat eigenlijk onveilig is, op een veilige manier konden neerzetten. Nou, dat is heel goed geslaagd. We hebben via die proef ook ontzettend veel ervaringen kunnen doorgeven aan Europay en Mastercard, waardoor de beveiligingsprotocollen verder konden worden ontwikkeld.”
Terugblikkend constateert Stolk wel dat de aanbodkant in het begin vrij mager was. „Heel lang hadden we meer consumenten dan ’content’. Tegen het einde van de proef is dat redelijk bijgetrokken.” Hij voegt eraan toe dat grote bedrijven die aan de proef wilden meedoen, in het begin moeite hadden om hun automatiseringssystemen klaar te maken voor elektronische handel. „Daarin speelde natuurlijk de hele ’back-office’-problematiek een rol. Ze moesten zorgen dat hun logistiek en de financiële rapportage ook voor elektronische transacties geschikt waren. Vooral grote partijen hanteren in dat opzicht strikte regels, waardoor we ze pas heel laat in de proef zagen verschijnen”, aldus Stolk.
Net als in de meeste andere Europese landen voert in Nederland de debetkaart in het betalingsverkeer de boventoon. Dat wil zeggen dat betalingen met een bankpas direct van de bankrekening worden afgeschreven. Angelsaksische landen, zoals de Verenigde Staten en in mindere mate het Verenigd Koninkrijk, zijn juist sterk georiënteerd op de creditcard als favoriet betaalmiddel.
„De proef met I-Pay was in eerste instantie ook alleen gebaseerd op de bankrekening van de klant”, vertelt Stolk. „Pas later hebben we de creditcard toegevoegd. Omdat Nederland een debet-georiënteerd land is, is het SET-protocol op verzoek van Interpay aangepast voor debetbetalingen. Als Interpay hebben wij verder de toepassing van zogenaamde ’tokens’, waarvoor onder meer de Chipknip en Chipper kunnen worden gebruikt, voorgelegd aan de internationale standaardisatiecommissies.”

Verbeterde versie
Deze zomer zijn de banken begonnen met het op de markt zetten van een sterk verbeterde versie van I-Pay. Belangrijkste vernieuwing is de adoptie van Secure Electronic Transaction, kortweg het SET-protocol. Hierdoor kunnen gebruikers van de Nederlandse I-Pay in principe over de hele wereld aankopen doen. Enige voorwaarde is dat de betreffende Internet-winkel zijn systemen heeft aangepast aan het SET-protocol.
De nieuwe software is niet meer gebonden aan één bepaalde PC. De consument kan desgewenst ook een andere computer gebruiken en onderweg vanaf zijn schootcomputer aankopen doen. De bezitters van een Apple Macintosh hebben trouwens pech: voor deze gebruikersgroep is geen software ontwikkeld. Hetzelfde geldt voor oudere PC’s met Windows 3.1. Alleen gebruikers van een IBM-compatibele PC met Windows 95 of 98 kunnen meedoen.

Portefeuille
I-Pay maakt gebruik van digitale certificaten en van een zogenaamde ’wallet’ (digitale portefeuille) die op de PC van de rekeninghouder worden geplaatst. De portefeuille, waarin meerdere betaalmiddelen kunnen worden opgenomen, is beveiligd met een gebruikersnaam en wachtwoord. In de ’wallet’ wordt een administratie bijgehouden van alle betalingen als bewijs van aankoop. Deze administratie kan achteraf worden geraadpleegd. Binnen een huishouden kunnen verschillende leden gebruikmaken van één portefeuille op dezelfde computer, als ze zich maar apart bij hun bank hebben aangemeld als I-Pay-klant.
Digitale certificaten zijn te vergelijken met paspoorten. Ze dienen voor het onomstotelijk vaststellen van de identiteit tegenover de andere participanten aan een transactie (winkelier, bank) die zich eveneens met zo’n certificaat bekendmaken.
Voordat een betaling wordt voltooid, krijgt de gebruiker op basis van het certificaat de identiteit van de webwinkel op het beeldscherm te zien. Op die manier is in één oogopslag vast te stellen of het om de juiste aanbieder gaat. Ook is het certificaat meteen het bewijs dat de consument zakendoet met een partij die het SET-protocol hanteert.
Berichten worden in versleutelde vorm verstuurd. Iedere partij krijgt uitsluitend de gegevens te zien die strikt noodzakelijk zijn. De Internet-winkel weet bijvoorbeeld niet het banksaldo van zijn klant, alleen dat een betaling door de bank is gefiatteerd. Voor de bank blijft het verborgen welke producten de rekeninghouder koopt. Hiermee is de beveiliging van het nieuwe I-Pay-betaalsysteem nog niet compleet. Bij een betaling met een debetkaart wordt de authenticiteit (echtheid) van de winkelende klant vastgesteld met behulp van een zogenaamd ’token’, een bewijs dat hij is wie hij voorgeeft te zijn. In de oude versie van I-Pay had het token de vorm van een diskette.
Het token kan per bank verschillend zijn en de controle kan online of offline gebeuren. De Postbank bijvoorbeeld heeft gekozen voor zijn Chipper-smartcard in combinatie met de Thuischipper, een kaartlezer die op de parallelle poort van de PC moet worden aangesloten. ABN Amro gebruikt de Chipknip en doet de controle eveneens online. De Rabobank hanteert een offline calculator die deze bank eerder al voor elektronisch bankieren had ingevoerd. „Uiteindelijk zullen alle banken wel overgaan tot een chipkaart,” verwacht Stolk, „want dat is de enige ’device’ die alle klanten in hun bezit hebben. Het is aan de kaartuitgever om te bepalen welke hardware hij wil gebruiken.”
De kosten voor het gebruik van I-Pay kunnen per bank verschillen, maar in de praktijk is het systeem gratis of bijna gratis. Sommige banken brengen een klein bedrag in rekening voor het startpakket. Daar staan voor de banken forse kosten tegenover.
Het gebruik van een token bijvoorbeeld zou weleens een dure grap kunnen worden voor de banken. Iedere rekeninghouder die elektronisch wil winkelen, al is het maar incidenteel, moet immers thuis een smartcardlezer of calculator krijgen. De Postbank is er kennelijk veel aan gelegen om gebruikers voor I-Pay te werven: de Thuischipper kost tijdelijk maar 15 gulden, terwijl als winkelwaarde 99 gulden wordt opgegeven. Volgens Stolk valt het met de kosten wel mee: „De banken hebben die apparaten natuurlijk massaal ingekocht, ook voor andere toepassingen. Het zijn diepte-investeringen die de banken maken om voor E-commerce een omgeving neer te zetten die optimaal veilig is.”

Samenwerking
De techniek van SET is ontwikkeld door IBM, Eurocard/ Masterdcard en Visa. Daarom is het opmerkelijk dat creditcarduitgever Visa vooralsnog niet meedoet aan de invoering van
I-Pay. Alleen de cliënten van banken die zijn gelieerd aan Eurocard/Masterdcard, kunnen naast hun giro- of bankpas ook een creditcard gebruiken om via I-Pay te betalen. Wel doet Visa internationaal mee aan het uitreiken van digitale certificaten.
Dat het SET-protocol in principe beide soorten pasjes accepteert, wil nog niet zeggen dat alle Internet-winkels dat ook doen. Zeker in de VS is de creditcard ook in de elektronische handel oppermachtig. Innovatiemanager Stolk verwacht dat Amerikaanse webwinkels niet meer om de debetkaart heen kunnen.
„Je ziet nu dat grote partijen in de VS heel nadrukkelijk naar de Europese markt kijken. Willen zij omzet krijgen uit typische debetkaart-landen als Duitsland, Frankrijk, Nederland, België en Scandinavië, dan zullen ze zich moeten aanpassen aan SET. Een transactie met debetcards kan namelijk alleen maar met SET worden afgewikkeld. Je ziet nu bijvoorbeeld dat Amazon en CD Now in samenspraak met Maestro, de organisatie die internationaal onze belangen behartigt, hun omgevingen aan SET gaan aanpassen. Nou, als ze dat voor debetcards doen, kunnen ze het net zo goed ook voor creditcards doen, dat is dezelfde implementatie voor de retailer.”
Een tweede reden waarom de Amerikaanse webwinkels zich volgens Stolk tot SET zullen bekeren, schuilt volgens hem in het terugdringen van de criminaliteit. „Vorig jaar is de fraude met creditcards in Amerika met 40 procent toegenomen. Uiteindelijk draaien de winkeliers voor die schadepost op. Daarom neemt de roep in Amerika toe om iets aan de beveiliging te doen. SET biedt die mogelijkheid.”

Geen maximumbedrag
Aankopen zijn vanaf nu met I-Pay niet meer aan een maximumbedrag gebonden, uiteraard binnen de grenzen van banksaldo of bestedingsruimte van de creditcard. Een minimumbedrag is er ook niet, maar door het gebruik van een kostbaar internationaal netwerk is I-Pay niet bedoeld voor transacties van een paar dubbeltjes of kwartjes.
Stolk: „Ik wil niet zeggen dat je geen kleine betalingen mág doen met SET, maar onder pakweg vijf gulden zou een andere betaalvorm efficiënter kunnen zijn. In het begin zullen we daar niet moeilijk over doen, dus als mensen voor een paar kwartjes of guldens van SET gebruik willen maken, dan mag dat.”
Binnen een paar jaar zullen de banken waarschijnlijk met een andere betaalvorm komen voor die kleine bedragen. „We denken daarbij aan een soort ’pay and click’-betalingen, die we wel keurig zullen koppelen aan de elektronische portefeuille die we nu uitgeven”, vertelt Stolk. „De voorzieningen die voor creditcards en debetcards bestaan om betalingen achteraf te kunnen traceren, zullen voor zulke micropayments heel mager zijn. Voor betalingen van een paar centen zullen wij geen hele logsystemen bijhouden.”
De banken denken met de SET-versie van I-Pay een uitermate veilig en betrouwbaar betaalsysteem te hebben gecreëerd. De verwachtingen over het vernieuwde betaalsystemen zijn hooggespannen. Na jarenlang experimenteren op relatief kleine schaal moet de Nederlandse consument nu massaal over op elektronisch zakendoen. Stolk: „Banken zijn altijd wat voorzichtig. Toch denk ik dat we een hele snelle toename zullen zien van het aantal consumenten en retailers dat zich zal aansluiten bij I-Pay. Mijn eigen inschatting is dat we eind dit jaar meer dan honderdduizend klanten zullen hebben aangesloten.

Optimistisch
Zonder winkels geen klanten. Wil
I-Pay aanslaan bij het grote publiek, dan zullen aanbieders op grote schaal het SET-protocol moeten omarmen. Interpay meldt optimistisch dat ’honderden’ winkels in binnen- en buitenland daartoe al zijn overgegaan of bezig zijn hun systemen op te waarderen.
„De retailers uit de proef gaan allemaal meedoen aan de definitieve opzet”, aldus Stolk, „maar ook een heleboel bekende bedrijven in Nederland, zoals de KLM, KPN, Holland Casino, Free Record Shop en Bart Smit hebben zich gecommitteerd aan I-Pay met SET. ”
Daarnaast denkt de innovatiemanager van Interpay dat er meer uniformiteit zal moeten komen in de manier waarop Internet-winkels de consument door het koop- en betaalproces dirigeren.
„Daarin moet meer eenduidigheid komen. Binnen de Internet Engineering Task Force (IETF) wordt gesproken over zogenaamde ’Internet online trading protocols’. Op basis daarvan willen wij in de naaste toekomst richtlijnen uitgeven. Dat is in het belang van alle partijen, zowel de aanbieders als de consumenten.”

Geert Kelfkens
Automatisering Gids • 10-09-’99
Grote bedrijven zijn overstag
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!