Visa geeft antwoord; hoe veilig is dat mobiel betalen nu echt?

Tijdens het bezoek van Techzine aan het Mobile World Congress zijn we ook op bezoek geweest bij Visa. We spraken daar met de Nederlandse countrymanager van Visa Europe, Daniel van Delft. Een man die alles weet over het bedrijf en de technieken die worden toegepast, hij sprak vol passie over alle innovaties waar Visa aan werkt, maar ook over de veiligheid van mobiel betalen. Een onderwerp dat zeer actueel is en waar sommige mensen zich druk over maken.

Met de introductie van biometrische sensoren op smartphones, is het authenticeren van mobiele betaaltransacties eenvoudiger geworden, zowel in de winkels via NFC als online. We zien dan ook dat steeds meer bedrijven een betaaldienst presenteren die werkt in combinatie met je smartphone, Apple introduceerde bijvoorbeeld al Apple Pay, Google kwam met Android Pay, LG met LG Pay en Samsung met Samsung Pay.

Alle grote smartphonefabrikanten willen meedoen in de wereld van het betalingsverkeer, niet zozeer omdat ze zo graag een extra service willen bieden aan hun eindgebruikers, maar voornamelijk omdat het lucratief kan zijn. De fabrikanten kunnen namelijk een heel klein percentage per betaling krijgen, nu is dat percentage minimaal maar als je honderden miljoenen transacties per dag verwerkt dan kan dat best wel oplopen.

Allemaal leuk en aardig natuurlijk, maar hoe zit het met de veiligheid van al die mobiele betaalsystemen. Als eindgebruiker is mobiel betalen erg handig, maar het moet wel veilig zijn. We gingen in gesprek met Visa dat voor vrijwel alle mobiele betaalsystemen de verwerking doet.

Om te beginnen is het goed om te weten dat als je een creditcard aan zo’n mobiel betaalsysteem koppelt dat je weliswaar je kaartnummer, verloopdatum en CVC-code moet verstrekken, maar het is niet zo dat deze gegevens bij elke betaling naar alle winkeliers worden verstuurd, noch op je smartphone worden bewaard. In plaats daarvan is het hele betaalsysteem gebaseerd op tokens. Bij het koppelen van een mobiel betaalsysteem aan een creditcard wordt er een token verstrekt waarmee betalingen worden uitgevoerd.


De mobiele app zal deze token opvragen zodra er een creditcard wordt geconfigureerd. Zo zal de app aan de Visa-servers vragen wie de kaartvertrekker is van een creditcard, om vervolgens bij de kaartverstrekker, bijvoorbeeld een bank in Nederland of International Card Services (ICS), een token op te vragen. Deze token wordt vervolgens gebruikt bij alle betalingen en niet je kaartgegevens.

De tokens komen uiteindelijk ook weer gewoon bij Visa vandaan, want hoewel de token bij de bank wordt opgevraagd is het Visa die de token verstrekt aan de bank. In het geval van de mobiele betaalsystemen wordt een token gekoppeld aan een specifiek apparaat. Als je van smartphone wisselt moet je opnieuw de betaaldienst configureren en wordt er een nieuwe token verstrekt. Hierdoor werkt de token alleen in combinatie met je huidige smartphone en Visa vereist daarnaast ook een biometrische controle, bijvoorbeeld een vingerafdrukscanner.

Op dit moment is er in Europa afgesproken dat alle betalingen die niet hoger zijn dan 25 euro mogen worden uitgevoerd zonder pincode tot een totaalbedrag van 50 euro. Als je dus twee betalingen hebt gedaan van 20 euro en je doet een derde betaling van 15 euro zal je alsnog je pincode moeten opgeven. Voorlopig zullen deze restricties nog van toepassing blijven maar in de toekomst zal het waarschijnlijk wel een keer mogelijk worden om grotere mobiele betalingen te doen.

Realtime monitoring betaalverkeer

Bij creditcards wordt, evenals bij bankpassen, het betaalverkeer heel nauwlettend in de gaten gehouden. Hierdoor loop je minder snel het risico dat je geld kwijt raakt als kwaadwillenden toch je creditcardgegevens buit weten te maken.

Zo wordt er door de Visa en de leden die de kaarten verstrekken nauwlettend het betaalverkeer in de gaten gehouden. Elke betaling die wordt gedaan krijgt een zogenaamde ranking op basis van je eerdere betaalgedrag. Als je ineens op de Dominicaanse Republiek een rondje geeft in een strandtent kan je kaart geblokkeerd worden en krijg je direct een telefoontje van je kaartverstrekker of je inderdaad aanwezig bent in deze strandtent en op het punt staat een betaling te doen. Ook als je je te snel over de wereld verplaatst zal je kaart geblokkeerd worden, binnen één uur een betaling doen in Amsterdam en vervolgens in New York is praktisch onmogelijk. Daarnaast is de hoogte van het bedrag enorm belangrijk, als je besluit om een aankoop te doen met een zeer hoog bedrag, dan zal er een extra controle worden vereist, bijvoorbeeld een sms-code of telefoongesprek voor extra authenticatie.

Van Delft benadrukt dat door het gebruik van open standaarden en het goed monitoren van het betalingsverkeer je creditcardbetalingen veilig zijn en dat niemand bang hoeft te zijn voor mobiel betalen. Daarnaast zijn creditcardbetalingen ook altijd goed verzekerd, mocht er toch iets misgaan krijg je gewoon je geld terug.

Er zijn inmiddels ook banken die mobiel betalen ondersteunen met hun debitkaarten en die werken volgens hetzelfde tokensysteem. Mocht je dus in de toekomst je bankpas toevoegen aan een mobiel betaalsysteem dan zal ook daarbij worden gewerkt met een tokensysteem. Het combineren van mobiele betalingen met biometrische gegevens is voor mobiel betalen erg belangrijk, daarom stellen veel banken en ook Visa dat als eis aan partijen die een mobiel betaalsysteem willen invoeren.

Beschikbaarheid

Op dit moment zijn dit type mobiele betalingssystemen nog niet beschikbaar in Nederland. Er zijn alleen proeven en mogelijkheden om mobiel te betalen met je bankpas. In andere landen is mobiel betalen al wel beschikbaar en op basis van onze gesprekken met fabrikanten verwachten wij dat de eerste diensten dit jaar in Nederland beschikbaar gaan worden. Zowel Apple als Samsung zijn druk bezig met het uitrollen van hun betaaldienst naar nieuwe landen.