มาต่อกันตอนที่สองนะครับ ซึ่งวันนี้เราจะมามองในมุมมองของการตัดบัตรเดบิต/เครดิตกันก่อนว่าเกิดอะไรขึ้น และมีใครบ้างที่เกี่ยวข้อง และจะต้องรับผิดชอบอะไรบ้าง เพื่อเป็นการปูพื้นให้ท่านผู้อ่าน ก่อนที่จะไปถึงกลโกงของผู้ร้ายตอนหน้าครับ อย่าเบื่อกันก่อนนะครับ
แต่เพื่อให้สอดคล้องกับบริบทของปัญหาที่เรากำลังเจอกันอยู่ ผมขออนุญาตพูดถึงเฉพาะเรื่องของธุรกรรมออนไลน์เท่านั้น ไม่อย่างนั้นคงจะเล่าให้ฟังไม่จบครับ
เริ่มต้นจากผู้ที่เกี่ยวข้องในกระบวนการใช้จ่ายเงินผ่านบัตรเดบิต/บัตรเครดิต
Customer (ลูกค้า) คือ เราๆ ท่านๆ เจ้าของบัตร
Merchant (ร้านค้า) คือ ธุรกิจที่รับชำระเงินผ่านบัตรเดบิต/เครดิต เช่น Facebook, Google, Apple, Lazada, Shopee เป็นต้น
Card Scheme (เครือข่ายบัตร) เป็นเจ้าของเครือข่ายบัตรที่เชื่อมระบบการชำระเงินเข้าด้วยกัน ตัวอย่างเช่น Visa, Mastercard, Maestro, American Express, Cirrus เป็นต้น ซึ่งเดิมทีเครื่องอ่านบัตรจะเป็นของใครของมันตามแต่เครือข่ายนั้นๆ แต่ในภายหลังก็เริ่มมีการเชื่อมเครือข่ายกันมากขึ้น โดยเฉพาะ Visa และ Mastercard ที่เป็นระบบเปิด บริษัทเหล่านี้เองที่ทำหน้าที่กระจายค่าธรรมเนียมไปยังผู้เกี่ยวข้อง รวมถึงทำหน้าที่บังคับให้ผู้ที่เกี่ยวข้องทำตามนโยบายที่กำหนด โดยการปรับหากทำผิดกฎ
Issuer Bank (ธนาคารผู้ออกบัตร) เป็นธนาคารผู้ออกบัตรให้กับลูกค้า เราจะสังเกตได้จากโลโก้บนบัตรเดบิต/เครดิตนั่นเอง มีหน้าที่เก็บเงินจากลูกค้าผู้ใช้บัตร
Acquirer Bank (ธนาคารผู้รับบัตร) เป็นธนาคารของฝั่งร้านค้า ทำหน้าที่ในการจ่ายเงินให้กับร้านค้า หลังจากการตัดเงินผ่านบัตรสำเร็จ ในอีกมุมหนึ่งทำหน้าที่ตรวจสอบว่าร้านค้านั้นเป็นร้านค้าจริง
Payment Gateway (ผู้ให้บริการที่เป็นตัวแทนโอนเงินหรือรับชำระเงินผ่านเครือข่ายอินเทอร์เน็ต) เป็นผู้ที่รับข้อมูลการชำระเงินจากร้านค้า และส่งข้อมูลให้กับ Payment Processor อีกทีหนึ่ง
Payment Processor/Payment Service Provider เป็นบริษัทที่เชื่อมต่อผู้ให้บริการต่างๆ เข้าด้วยกัน เช่น Apple Pay, Google Pay, 2C2P, TrueMoney เป็นต้น
อย่างไรก็ดี นิยามยังมีความคลุมเครืออยู่ และผู้ให้บริการหลายๆ รายก็ทำหน้าที่หลายๆ หน้าที่ไปพร้อมกัน
ทั้งนี้ สถาบันการเงินที่ทำงานร่วมกับร้านค้า (Acquiring Bank) จะเรียกเก็บค่าธรรมเนียมจากร้านค้าในอัตราประมาณ 0.55-5% โดยการหักค่าธรรมเนียมล่วงหน้า (ป้องกันการเบี้ยว) และค่าธรรมเนียมเหล่านี้จะถูกกระจายไปให้กับผู้ที่เกี่ยวข้องทั้งหมดตามที่ตกลงกันไว้ ในธุรกรรมแบบปกติ ทุกๆ คนที่เกี่ยวข้องก็คงแฮปปี้กับค่าธรรมเนียมที่ได้ อาจจะมีก็แต่ร้านค้าที่แอบรู้สึกเสียดายค่าธรรมเนียมเหล่านี้ให้กับเสือนอนกินทั้งหลาย
แต่ความเป็นจริงไม่ใช่เช่นนั้น กว่า 0.5% ของธุรกรรมทั้งหมด เป็นรายการธุรกรรมฉ้อโกง (Fraudulent Transaction) คิดเป็นความเสียหายกว่า 2.8 หมื่นล้านดอลลาร์สหรัฐต่อปีเลยทีเดียว แต่ความเสียหายที่แท้จริงรวมทั้งระบบที่ LexisNexis ประเมิน เป็นกว่า 3 เท่าของมูลค่าการฉ้อโกง หรือคิดเป็นกว่า 1 แสนล้านดอลลาร์สหรัฐเลยทีเดียว
ถึงจุดนี้ เคยสงสัยกันมั้ยครับ ว่าในกรณีที่เกิดการฉ้อโกงขึ้น ลองเดาสิครับว่าใครที่เกี่ยวข้องที่เป็นคนรับผิดชอบ?
ลูกค้าเจ้าของบัตร? ไม่ใช่ครับ จริงๆ แล้ว บริษัทเจ้าของเครือข่าย เช่น Mastercard, Visa มีนโยบายเรื่องของ Zero Liability Protection ที่บอกว่าลูกค้าไม่ควรต้องรับผิดชอบความเสียหายที่เกิดจากการใช้บัตรโดยไม่ได้รับอนุญาต แต่เรื่องเหล่านี้มีข้อยกเว้นครับ เดี๋ยวผมอาจจะเล่าให้ฟังเพิ่มเติมภายหลังหากไม่เบื่อกันเสียก่อน
คำตอบคือ ร้านค้าครับ โดยเฉพาะรายการใช้บัตรแบบ Card Not Present (ไม่มีบัตรมาแสดง) ซึ่งร้านค้าไม่มีโอกาสได้ตรวจสอบบัตรเครดิตเหมือนการรูดบัตรที่ร้าน หากไม่มีมาตรการรักษาความปลอดภัยมาตรฐาน เช่น การตรวจสอบตัวตนและการชำระเงินด้วยบัตรที่เปิดใช้งานชิป การทำธุรกรรมออนไลน์จึงมีความปลอดภัยน้อยกว่ามาก ในกรณีที่เกิดธุรกรรมที่ฉ้อโกงขึ้น ภาระจะตกอยู่ที่ตัวผู้ค้าเอง ผู้ขายมีหน้าที่รับผิดชอบในการคืนเงินให้กับลูกค้า โดยธนาคารผู้ออกบัตรของผู้ถือบัตรจะเรียกเก็บเงินคืนในนามของผู้ถือบัตรนั่นเอง
ซึ่งหากมาดูรายละเอียด เวลาที่ถูกโกง ร้านค้ามักจะโดนสองเด้ง เพราะสินค้าและบริการอาจจะส่งไปให้คนร้ายแล้ว ในขณะที่เงินก็ไม่ได้ เพราะต้องคืนให้กับเจ้าของบัตรตัวจริงไป แถมยังอาจจะโดนเรียกเก็บค่าใช้จ่ายเพิ่มเติมจากธนาคาร และถ้ามีเหตุการณ์แบบนี้เกิดขึ้นบ่อยๆ จะโดนปรับค่าธรรมเนียมสูงขึ้นด้วย หรืออาจจะถึงกับโดนปิดบัญชีเลยก็ว่าได้
ดังนั้นเพื่อลดความเสี่ยงข้างต้น ร้านค้าที่ระมัดระวังตัวจะมีการตรวจสอบที่ดีขึ้น เช่น การตรวจสอบรหัส CVV และวันที่หมดอายุ เป็นต้น แต่อย่างที่บอกไปในตอนที่แล้วว่ามันไม่เพียงพอ ร้านค้าในปัจจุบันจึงมีการตรวจสอบชื่อบนบัตร ที่อยู่ รหัสไปรษณีย์เพิ่มเติมอีกด้วย
นอกจากนี้เนื่องจากธุรกรรมฉ้อโกงที่เพิ่มสูงขึ้นเรื่อยๆ EMVCo, Card Scheme และ Payment Gateway จึงเริ่มออกมาตรฐานพิเศษสำหรับการชำระเงินออนไลน์ที่เรียกรวมๆ ว่า 3D Secure โดยหน่วยงานกลางจะตรวจสอบรายการธุรกรรมที่ใช้ข้อมูลเพิ่มเติมมากขึ้นนับสิบเท่า เช่น รายละเอียดของธุรกรรม สถานที่ส่งสินค้า เครื่องที่ใช้ในการทำธุรกรรม เป็นต้น หากหน่วยงานกลางประเมินแล้วว่าธุรกรรมดังกล่าวมีความเสี่ยงที่จะเป็นรายการฉ้อโกง ก็จะบังคับให้ผู้ใช้บัตรต้องทำการกรอกรหัส 2FA หรือ OTP เพิ่มเติม
แต่อย่างไรก็ตาม มาตรฐานความปลอดภัยที่มากขึ้นทำให้การใช้งานยากขึ้นจนลูกค้าบางคนเลิกทำธุรกรรมไปเลย และนอกจากนี้การทำระบบให้ปลอดภัยเองก็มีต้นทุนที่เพิ่มสูงขึ้นเช่นกัน เพราะต้องแลกมากับระบบที่ซับซ้อนมากขึ้น
ส่วนร้านค้าขายของออนไลน์ขนาดใหญ่ รวมทั้งยักษ์ใหญ่ในไทยอย่าง Shopee, Lazada จะเลือกทำตามมาตรฐานความปลอดภัย PCI DSS ใหม่เป็นอย่างดี ซึ่งจะไม่มีการเก็บข้อมูลบัตรโดยตรงแต่อย่างใด โดยจะเก็บข้อมูลเป็น Token พิเศษที่สามารถใช้จ่ายกับร้านนั้นๆ ได้เท่านั้น จึงทำให้เชื่อถือเรื่องของความปลอดภัยว่าเลขบัตรจะไม่รั่วไหลออกไป ดังนั้นผู้ที่ตกใจและคิดว่าร้านค้าใหญ่ๆ เป็นผู้ปล่อยข้อมูลรั่วไหล จึงเป็นเรื่องที่คาดเดาไปเองเท่านั้น
อย่างไรก็ตาม ด้วยภาระรับความเสียหายที่ตกแก่ร้านค้าเป็นหลัก โดยที่ธนาคารอาจจะมีการรับความผิดบ้าง ทำให้ธนาคารเองยังไม่ค่อยมีการพัฒนามาตรการในการป้องกันการฉ้อโกงที่ดีพอ ทั้งๆ ที่จริงธนาคารและผู้เกี่ยวข้องอื่นๆ ในกระบวนการนี้ยังมีต้นทุนที่ตัวเองมองไม่เห็นอีกมาก นี่ก็เป็นอีกหนึ่งเรื่องที่ผมขออนุญาตเก็บไว้เล่ารวมกันในตอนหน้าด้วยครับ
บางท่านอาจจะมีคำถามว่าร้านค้าเป็นผู้รับผิดชอบความเสียหาย แล้วทำไมธนาคารจึงต้องเป็นคนเอาเงินมาคืนลูกค้า แล้วธนาคารไม่เสียหายเหรอ สำหรับเรื่องนี้เป็นการเรียกเก็บเงินเป็นทอดๆ ตามกระบวนการทำงานปกติที่เรียกว่า Chargeback เมื่อเกิดรายการธุรกรรมที่ต้องถูกยกเลิกครับ ซึ่งธนาคารก็มีความเสี่ยงที่อาจจะเรียกเงินคืนจากร้านค้าไม่ได้อยู่บ้างครับ ซึ่งถ้ามีคนอยากทราบรายละเอียดเพิ่ม ผมอาจจะเขียนเล่าให้ฟังตรงจุดนี้ด้วย
อ้างอิง:
- https://risk.lexisnexis.com/…/us-ca-true-cost-of-fraud…
- https://www.rapyd.net/…/credit-card-payment-processing…/
ช่องทางติดตาม THE STANDARD WEALTH
Twitter: twitter.com/standard_wealth
Instagram: instagram.com/thestandardwealth
Official Line: https://lin.ee/xfPbXUP
