Al een decennium hangt het perspectief van simpel betalen met je mobiele telefoon boven de markt. Je telefoon heb je altijd bij je en het is een praktische gedachte om betalen via je mobieltje te laten lopen via ‘swipen’, door je kaart langs een antenne te halen zoals we dit ook met de OV-chipkaart doen. Het lijkt me een geweldig idee, maar als we dit gaan doen moet het ook wel veilig en goed gebeuren.
Ik heb eens een aantal recente bronnen op een rijtje gezet om te kijken hoe het er mee staat. Aanleiding voor mij om dit te doen is dat recent ABN/Amro en ING de introductie van ‘contactless payment’ in Nederland hebben aangekondigd. Banken moeten natuurlijk wel wat doen in dit gebied. Anders worden ze voorbijgelopen door Apple, Google en telco’s en zijn ze niet meer nodig.
Wat is mobiel betalen?
Bij mobiel betalen gebruik je je smartphone om de betaalinformatie bij de kassa achter te laten. Dat kan op dit moment op drie manieren. De eerste is met een QR-code de betaalmogelijkheid van de winkel activeren. Via een pincode geef je toestemming. Dit is een soort digitale variant van machtigen. Starbucks is er het voorbeeld van. De tweede manier is met je smartphone naar de site van de bank te gaan en via een ‘app’ en internetbankieren de betaling te voldoen. Bij de meeste Nederlandse banken kan dit al, maar er is veel gedoe geweest rond de security. De derde manier is via ‘swipen’, net als bij de OV-chipkaart je mobiel tegen een schermpje aanhouden en het geld is overgemaakt (contactless payment).
Bij swipen speelt de nfc-chip (near field communication) een cruciale rol. De techniek is in principe het zelfde als bij de OV-chipkaart.
Er bestaan verschillende, niet uitwisselbare, technische standaarden op dit moment voor swipen. 95 procent van de markt gebruikt de door creditcard-maatschappijen geïntroduceerde technologie. Overigens kan het nog wel een paar jaar duren voordat deze markt technologisch gestandaardiseerd is. Ik richt me met name op ‘swipen’.
Business Logica voor de financiële instellingen
Waarom is contactloos betalen interessant voor banken en credit card maatschappijen? Uiteindelijk is het business model voor de banken en andere financiële instellingen dat ‘swipen’ betalen gemakkelijker maakt, en wellicht leuker, en dat dus het aantal transacties zal toenemen. Daar verdienen financiële instellingen aan. Wie het toenemen van de transacties zal betalen is me nog niet helemaal duidelijk maar het ziet er naar uit dat vooral de ‘winkeliers’ dit gaan doen in de visie van de bank.
Het is in ieder geval duidelijk dat door de introductie van dit nieuwe betalingskanaal geen bestaande kanalen kunnen worden uitgezet. Het aantal transacties zal dus in ieder geval fors omhoog moeten wil dit een rendabele zaak kunnen zijn voor financiële instellingen.
Mobiel is dus eigenlijk de voortzetting van het klassieke business model van banken waarin ze uiteindelijk verdienen door transacties en door ‘traffic’ in hun rekencentrum. Een soort levensduurverlenging zeg maar. Er is echter een verschil hier met eerdere technologische vernieuwingen. De eerdere technologische vernieuwingen vervingen oud geld en administratieve handelingen door een elektronisch systeem. Ook al laat de bijbehorende infrastructuur nog wel even op zich wachten, ‘ contactless payment’ lijkt toch eerder een verdringer voor bestaand elektronisch betalen en dus een kapitaalvernietiging.
Welk probleem lost mobiel betalen op?
Inspectie van de literatuur hierover laat zien dat deze vraag denk ik niet beantwoord is. Er hangen twee antwoorden in de lucht. Namelijk dat mobiel betalen gemakkelijker is en dat swipen ‘fun’ is. De literatuur over dit onderwerp heeft tot dusver een overwegend ‘advertorial’ karakter. De koppelingen naar crm en aanvullende customer profiling klinken logisch vanuit de ondernemers en banken, maar zijn vaag. Bovendien zit je hier in juridisch schemergebied voor wat betreft privacy. Aan de andere kant, als je op google zoekt met de term ‘mobile payment’ kom je weinig tegen wat voor de gebruiker handig is.
E-security
Recente informatie laat zien dat met name de volledig op swiping ingerichte ‘cards’ niet secure zijn, bijvoorbeeld doordat er technologie beschikbaar is om de nfc-straling tot op dertien meter afstand op te pikken via passieve nfc-interceptie. Lek wil dan zeggen dat je met een eenvoudige laptop met antenne wandelend door de trein bij de volgende gegevens kan: naw, kaartnummer en expiratiedatum en dump betalingshistorie. De ccv-code (card code verification) ’vang’ je niet.
De vraag is natuurlijk of de incentive om mobieltjes te hacken hoog blijkt als mobiel betalen breed toegang vindt. ‘Hackito ergo sum’. Het merendeel van de smartphones is overigens niet beveiligd op dit moment. Geen spyware, geen firewalls.
Achterliggend probleem is dat in algemene zin de verantwoordelijkheid voor informatie-overdracht via mobieltjes niet helder is. Die is dus ook niet helder in geval van mobiel betalen. Wie is verantwoordelijk? De service provider? Degene die betaalt? Dit moet geregeld worden vooraf aan grootschalige implementatie.
Snappen we waar we mee bezig zijn?
Op basis van de informatie die ik daarover ken lijkt het erop alsof, vanuit het oogpunt van e-security, niet volledig uitgerijpte technologie ten behoeve van mobiel betalen naar de consument wordt gebracht. Tegelijkertijd lijkt het erop dat banken een beweging maken om hun klanten meer te laten betalen als ze digitaal geplunderd worden, bij voorbeeld via het hierboven genoemde ‘mobiele skimmen’. Ik vraag me wel eens af of de verantwoordelijke personen binnen financiële instellingen alsook de Autoriteit Financiële Markten, die toezicht houdt op onder meer de beschikbaarheid over een ordelijk betalingssysteem, dit soort dingen weten? Of gaan we ook hier wachten op de hack van ‘Brenno’ (de Winter – red.)?
Weten de houders van betaalpunten dat ze straks door mobiel betalen waarschijnlijk meer moeten gaan betalen aan banken?
Slotopmerkingen
We hebben een hoop gedonder in Europa door banken die ‘too big to fail’ zijn. Voor die afhankelijkheid betalen we een hoge prijs en gelukkig ontstaan er zo langzamerhand alternatieven als crowd funding en social banking. De vraag die ik hier stel is of we als samenleving behoefte hebben aan een nieuwe ontwikkeling als contactless payment, die ons opnieuw volledig afhankelijk maakt van financiële instellingen? Is dat niet tegen de maatschappelijke trend in? Is dit vanuit het oogpunt van risicobeheersing , een term goed bekend in bankkringen, op dit moment wenselijk?
Natuurlijk is ‘swipen’ aantrekkelijk. Maar laten we dat pas gaan doen als het echt kan. Waarom die nfc niet eerst uitproberen op minder kritische omgevingen, bijvoorbeeld mobiele toegangskaarten. Op het moment dat persoonsgegevens en bankgegevens uitgewisseld worden moet de basis technologie stabiel en veilig zijn en moet geregeld zijn wie verantwoordelijk is voor wat. Dat is nu nog niet het geval.
Frans van der Reep, lector digital world Hogeschool Inholland
Goed en relevant artikel! Het onderwerp houdt me al jaren bezig. Juist omdat je naast betalen met je smartphone ook marketing kunt doen in één en je telefoon daadwerkelijk je portemonnee wordt.
Zeker een goed artikel. Frans stelt de juiste vragen. Mobiel betalen is iets heel anders dan een afrekening voor een OV-rit, waar naderhand nog een heleboel aan gecorrigeerd kan worden.
Wat een goed artikel. Heb met mijn smartphone alleen zelf het probleem dat de batterijduur minimaal is. Minpuntje is dat je op de website van je bank moet inloggen of een QR code moet gebruiken. Stel je voor dat het ingevoerd wordt, behouden we dan ook de optie om met pinpas te betalen?
Snap namelijk ook dat de ouderen van nu, niet in het bezit zijn van een smartphone of telefoon met internet.
Helder stuk Frans. Ik ben benieuwd hoe banken ons weer gaan belonen/overhalen om dit te gaan gebruiken. Net als bij het EPD en verzekeraars. Zo lek als een mandje en toch doordrukken. Of net als met het OV, één systeem zou handig zijn voor de reiziger, maar iedere vervoerder heeft eigen systeem. Op welk systeem moet de ondernemer of winkelier straks gokken? Ik denk dat je terecht zegt dat we de afhankelijkheid van banken te groot hebben gemaakt. Ook al heb ik straks de optie om het niet te gebruiken, het is niet oké. De schade van cybercrime, hacking en andere vormen van diefstal zal steeds verder oplopen en die wordt gewoon doorberekend aan de klant. Zou het niet verplicht moeten zijn dat banken bij de introductie van iets nieuws verplicht worden om de maatschappelijke risico’s te communiceren? Ze veroorzaken namelijk ook grote maatschappelijke risico’s. Net als bij sigaretten een boodschap: “let op, dit financiële product draagt maatschappelijke risico’s met zich mee”.
Wat is er trouwens veranderd bij banken zoals ING, waar m’n saldo eventjes niet klopt of betalingen lange tijd niet mogelijk zijn? Zie het nieuws van vandaag? Als we nu al niet snappen waarom de bestaande systemen niet werken, is het dan wel verantwoord om over nog meer risicovolle systemen te praten? Zien we de banken ook al als ’to big to say no to’?
Het lijkt erop dat we in onze huidige maatschappij vertrouwen op wetgeving, overheid en goed fatsoen. Het lijkt er ook op dat we pas ingrijpen wanneer het al fout is gegaan. De introductie van iets nieuws kent nog geen referentiekader en een zinnig oordeel van burgers, bestuur en bedrijven zelf, mag je derhalve niet verwachten. Ik snap dat je als maatschappij niet alle vernieuwing kunt tegengaan, maar snappen we ook wat we doen als we iets doen wat we niet snappen?