טכנולוגיית התשלום הנוחה והמאובטחת מתעכבת בכניסה לישראל

בעולם כרטיסי התשלום, טכנולוגיית התשלום ללא מגע (בשמה המלא EMV Contactless), קיימת כבר מעל לעשור ■ אך במקביל, המדינה גוררת רגליים בנוגע ליישום הטכנולוגיה בארץ

איליה דובינסקי
איליה דובינסקי
מערכת תשלום בסמארטפון
מערכת תשלום בסמארטפוןצילום: STEVE MARCUS/רויטרס

היה רגע מסוים באחד ממקומות העבודה הקודמים שלי שהחברה החליטה לעבור מכרטיסים עם פס מגנטי לכרטיסי מגע, בעיקר משום שהכרטיסים המגנטים הרבו להתעקם ולהישבר. הם גם נקלטו בקורא הכרטיסים רק לאחר מספר ניסיונות - מה שהצריך למצוא חלופה טובה יותר. קושי זה אינו ייחודי לאותו מקום עבודה והמציאות היא שכרטיסים מגנטיים הפכו לפחות פופולאריים מכמה סיבות: הפס המגנטי נשחק מריבוי החיכוך שלו עם פיות הקורא, הוא איבד את רמת המגנוט מפאת קרבה לטלפון הסלולרי בכיס. גם קוראי הכרטיסים עצמם נשברו והתנתקו ממקומם באופן עקבי. כשעברנו לכרטיסי מגע, כל הבעיות הללו נעלמו בן לילה.

על כך מגיעה תודה גדולה למייקל פאראדיי, הפיזיקאי הדגול מהמאה 19. לא רבים מודעים לכך, אבל פאראדיי נחשב עד היום לעורך הניסויים המדעיים הגדול ביותר בתולדות המדע. לזכותו מספר רב של תגליות כמו חוקי האלקטרוליזה, גילוי החומר בנזן ועוד, כאשר ההמצאה הגדולה שלו היתה מכונת הדינמו הראשונה. (פיזיקאי אחר, ג'מס מקסוול, ניסח משוואות מתמטיות מדויקות על סמך תוצאותיו של פאראדיי - וזה אפשר תיעוש של מכונת הדינמו ומנוע חשמלי). ככלל, המצאות אלו מהוות בסיס לכל האלקטרוניקה המודרנית - החל ממחשבי-על וכלה בטלפונים ניידים. בין תגליותיו, כאמור, נמנית גם תופעת ההשראה האלקטרומגנטית עליה מתבוססת הפעולה של כרטיסי קרבה. הכרטיס, המסתיר בתוכו מעגל אלקטרוני ואנטנה, מוכנס בעת הפעלה לשדה המגנטי אותו יוצר קורא הכרטיסים. הואיל והאנטנה היא מוליך, נוצר בו זרם אשר מזין את המעגלים של הכרטיס ומאפשר התקשרות בינו לבין הקורא.

קרב ללא מגע

בעולם כרטיסי התשלום, טכנולוגיית התשלום ללא מגע (בשמה המלא EMV Contactless), קיימת כבר מעל לעשור. זוהי ללא ספק פנינה הנדסית: תהליך התשלום פשוט, הכרטיס מוצמד לקורא ממש לשנייה, ובפרק זמן זה מספיק השבב המותקן על הכרטיס לקבל זרם, לבצע אתחול, לתאם מול הקורא את פרוטוקול התקשורת ולבצע מספר חישובים מורכבים, כולל הצפנת פרטי העסקה עם מפתח סודי אשר עודכן בכרטיס ע"י המנפיק.

תשלום בכרטיס אשראי באמצעות אפליקציה
תשלום בכרטיס אשראי באמצעות אפליקציהצילום: בלומברג

למרות הפופולאריות של שיטת התשלום הזו כיום, במשך הרבה שנים היא עמדה בפני מכשולים רבים וביניהם: היעדר מוכנות תשתיות הניתוב, חוסר במוכנות הבנקים ואי יכולת הפצת מסופים תואמים לתקן. יחד עם זאת, חברות האשראי הבינלאומיות היו מעוניינות בתמיכה בתקן החדש, לכן התשתיות שודרגו במהרה יחסית. העובדה שתקן התשלום ללא מגע רוכב על אותם פסים כמו תקן התשלום באמצעות שבב (EMV), סייעה גם היא להכשרת התשתיות. במקביל, על המנפיקים והסולקים הופעל לחץ להתחיל לתמוך בשיטת התשלום ללא המגע. אבל על אף התקן המפותח, הנהלים הברורים והלחץ הזה, השינויים בשוק התרחשו במהירות של נדידת יבשות.

המצב השתנה בעקבות שינויי החומרה במכשירי הסלולר החכמים. תחילה למדו הטלפונים לתמוך בפרוטוקול ה-NFC, אשר פועל באותו התדר כמו EMV Contactless אבל מקבל הזנה מהסוללה של המכשיר. לאחר מכן, הומצאו שתי שיטות לאחסון מפתחות רגישים אשר יכולים להיקשר לטלפון: חלק מהיצרניות הוסיפו רכיב חומרה המאפשר הטענת מפתח בטוחה, וחלק עברו לסימולציה של אחסון מפתח בענן.

כך או כך, עם התפתחותו של מכשיר שמתקשר עם מסוף כמו כרטיס תשלום ומאבטח מפתחות הצפנה רגישים כמו כרטיס תשלום, היה זה רק עניין של זמן עד שהמכשירים יחלו לשמש תחליף נפוץ לכרטיסים. ואכן, כאשר נתח השוק של אותם מכשירים משודרגים הגיע למסה קריטית, עברו בנקים רבים וחברות פינטק להנפקת כרטיסים אלקטרוניים. כעת, במקום לחכות למשלוח כרטיס פיזי, אפשר להמתין מספר שניות ולקבל את הכרטיס הישר לתוך מכשיר הטלפון. בשונה מכרטיס תשלום פיזי (התומך בדרך כלל בפס מגנטי ושבב מגע בנוסף לאנטנת ה-Contactless), הטלפון יודע לפעול רק על גבי גלי האתר. יחד עם זאת, צריך לומר כי מספר המסופים התואמים נהיה גדול דיו, עד שבמרכזי ערים גדולות בעולם מגבלת שיטת הממשק הבודדת לא מהווה מכשול.

יתרה מכך, אילוצי הזמן שהכרטיס נמצא בשדה של הקורא אילצו את מפתחי התקן (או, ליתר דיוק, מספר תקנים חלופיים) לייעל את הפרוטוקולים באופן מרבי. למרבה השמחה, כיום מכשירי הטלפון בעלי יכולת חישובית גבוהה יותר מזו של שבב שמוזן משדה אלקטרומגנטי. הם מסוגלים להשלים חישובים מהר יותר - מה שעשה את התשלום ללא מגע באמצעות הטלפון מהיר ונוח עוד יותר.

אנשים משלמים בכרטיס אשראי
אנשים משלמים בכרטיס אשראיצילום: בלומברג

הוזלת מסופים

אחד האתגרים בנושא הטמעת שיטות תשלום מהסוג הזה, הוא הקושי בבניית מסוף תשלום מאובטח ומתוחכם דיו. ראוי שהמכשיר יהיה בעל יכולת הגנה גבוהה; למשל, על הקוד הסודי של מחזיק הכרטיס, דבר המוגדר בתקנים מיוחדים ודורש תהליכי אישור יקרים.

אחד מאבני הדרך בשוק המסופים היה הדרישה שכל מכשיר יכיל לוח מקשים פיזי עבור הקשת הקוד הסודי.

ואכן, בתחילה נבנו מכשירים לפי התקן ועם חומרה ייעודית. אולם באותה העת פיתחו את התוכנה למסופים של חברות רבות, ועדיין מספר סוגי חומרה הקיימים בשוק היה נמוך. דבר זה התחיל להשתנות כאשר החברות סיפקו ללקוחותיהם רכיב המתחבר לטלפון ומכיל את כל הרכיבים הפיזיים, כולל לוח המקשים פיזי.

כרטיסי אשראי
כרטיסי אשראיצילום: Martin Meissner/אי־פי

בתחילת 2018 השיקה מועצת PCI (האחראית לתקני אבטחת המידע עבור כרטיסי התשלום) תקן חדש המאפשר הזנת קוד אישי באמצעות מסך מגע (פונקציה המכונה "pin-on-glass"). הכנסת תקן זה הקלה באופן משמעותי על הכנסת דגמים חדשים לגמרי לשוק והוזילה עלויות - לעומת התקן פיזי עם מקשים שיש לו עלות ייצור ושילוח ושנוטה להתקלקל, תוכנה שרצה על פלטפורמה פתוחה כמו אנדרואיד משתכפלת למספר כלשהו של עותקים ללא עלות נוספת. כמובן שגם פתיחות הפלטפורמה מסייעת לריבוי היצע - רף הכניסה לשוק המסופים יורד בכך שאין יותר צורך לחתום חוזה עם יצרנית חומרה קניינית, ואכן מספר רב של יצרניות מסין, המציעות מסופי EMV הבנויים סביב טלפון עם אנדרואיד, כבר נראות ברחבי העולם.

על פניו, המצב בתחום התשלומים מעולם לא היה טוב יותר. ואכן, במוקדים רבים באירופה, חשבון בנק וכרטיס תשלום המקושר אליו, מונפקים הישר לטלפון של הלקוח תוך מספר דקות. אני מאמין כי היצע מכשירי המסוף, אף יוביל להוזלתם ויאפשר חדירה רחבה ביותר גם בערים ובאזורי פריפריה. התשתיות הללו בעצם מהוות גם סוג של ביטוח עבור ענקיות האשראי - תהיה כל שיטת תשלום חדשנית מהפכנית אשר תהיה, הדרך הפשוטה ביותר למעבר לעולם הריאלי היא EMV Contactless.

מה בישראל?

מתחילת 2019, ע"פ הוראת בנק ישראל, האחריות על שימוש לרעה בכרטיסים חכמים מוטלת על בית העסק (בשלב זה רק על עסקים גדולים). אם בוחנים את השוק כיום אפשר לראות בבירור כי הטלת האחריות אולי מקנה תחושה נעימה למנפיקים בישראל, אבל לא באמת מביאה לשינוי בשוק.

מהפכה אמיתית בתשלומים קמעוניים של צרכנים אפשרית בהחלט, אולם בפנייה ניצבים  שני מכשולים מרכזיים. מחד, חברות האשראי הקיימות אינן מרבות להנפיק כרטיסי contactless, בטח שלא בצורה אלקטרונית. יתרה מכך, אין הרבה סיבות למהר ולהשקיע בכיוון הזה בהיעדר תחרות אמתית ואיומים מצד המתחרים. מאידך, הפעלת מסוף בישראל מחייבת חיבור לשב"א ועמידה בתקנים המתאימים, דבר שגורר עלות לא מבוטלת.

לכל בר דעת ברור כי  לא ניתן לאפשר לכל גורם שמתחשק לו להתחבר למערכת הניתוב הלאומית ללא בדיקה או רישוי. אך במישור זה אחד המחסומים של הכניסה לשוק הוא, למרבה הפלא, הפרפקציוניזם. פרוטוקול התקשורת של שב"א מתקדם ומתוחכם מאוד, הוא תומך באפשרויות רבות המקושרות לכרטיס, כך שמכל מפתח ומשווק מסופים מצופה תמיכה מלאה בכל האפשרויות. הגדלת הקריטריונים של פיתוח מסוף התומך בכל היכולות הנדרשות, מקטינה את כמות היצרנים המעוניינים להיכנס לשוק הישראלי הקטן יחסית. לו היה אפשר להפעיל מסוף שלא תומך בכל כרטיס ובכל מוצר אפשרי, ייתכן ומספר המבקשים לשווק מסופים בארץ היה גדול יותר.

המציאות כיום היא שלא ניתן להמיר תשתיות סליקה לתקן פתוח. אולם מהצד השני המדינה יכולה בהחלט לפעול על מנת לאפשר כניסת שחקנים חדשים בעלי יכולת להנפקת כרטיסים. חשוב להבין שבמישור הזה, הכדור נמצא בידי המחוקק - הן בנק ישראל והן צוות בין-משרדי של משרד האוצר ניסחו מהלכים שיובילו לפתיחות רבה יותר של השוק הישראלי.

כך לדוגמא, ריבוי האפשרויות לסוחר, הוזלת מחירי המסופים, הוזלת מחירי הסליקה והעמלות, הקטנת אורך מחזור התשלום לבית העסק - כל אלה יובילו בסופו של דבר לצבירת מסה קריטית של חנויות אשר מאפשרות תשלום ללא מגע. ברגע שזה יקרה , נתעורר למציאות אחרת וטובה יותר - כמיטב המדינות המתקדמות בתחום.

איליה דובינסקי

איליה דובינסקי | איליה דובינסקי

איליה הוא סמנכ"ל יחידת ה-CTO בחברת Credorax, המעניקה פתרונות סליקה גלובליים לחברות אינטרנט שמוכרות מוצרים ושירותים אונליין. הוא מתווה את מפת הדרכים הטכנולוגית של החברה, מנהל את הקניין הרוחני שלה ומנחה את שיתוף הפעולה עם האקדמיה. בעל ניסיון של עשרים שנה בפיתוח תוכנה, ניהול מוצר וניהול פרויקטים בעולמות טלקום ופינטק.

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker