Moneteo
Spis treści
Wróć

Autoryzacja transakcji kartą płatniczą

Beata Szymańska
Beata Szymańska
Analityk produktów finansowych
Beata Szymańska
Beata Szymańska
Analityk produktów finansowych

139 publikacji 148 komentarzy

W Moneteo specjalizuje się w analizowaniu produktów dedykowanych klientom firmowym oraz w tekstach poradnikowych przeznaczonych dla bankowych nowicjuszy. Oprócz tego zajmuje się aktualizacją danych i zmianami w bankowych ofertach.


10 komentarzy
Autoryzacja transakcji kartą płatniczą

Wszyscy wiemy, że płatności kartą są szybkim i wygodnym sposobem na opłacenie zakupów. Cała transakcja sprowadza się do kilku prostych czynności: musimy wprowadzić plastik do czytnika terminala, chwilę poczekać na potwierdzenie z banku, wpisać PIN (lub złożyć podpis na wydruku) i odebrać paragon wraz z dowodem płatności kartą. Wszystkie te czynności trwają zaledwie kilka sekund i wymagają od nas minimalnego wysiłku. Jeszcze szybciej przebiegają płatności kartą zbliżeniową, ponieważ w tym przypadku nie musimy podawać PIN-u, co dodatkowo skraca czas trwania transakcji.

Warto jednak wiedzieć, że choć cała operacja wydaje się łatwym i nieskomplikowanym procesem, w rzeczywistości składa się z kilku etapów, a w jej przebieg jest zaangażowanych wiele podmiotów. W procesie autoryzacji kart uczestniczą bowiem:

  • użytkownik karty - czyli klient banku, korzystający z karty kredytowej lub debetowej,
  • emitent - bank, który wydał kartę;
  • akceptant - sprzedawca przyjmujący płatność kartami;
  • agent rozliczeniowy - firma zajmująca się obsługą i rozliczaniem transakcji płatniczych oraz zapewniająca infrastrukturę do akceptacji kart. Do największych agentów rozliczeniowych działających w Polsce zaliczamy PayU, Fiserv Polska (wcześniej - First Data Polska), eCard, eService, PayTel,
  • organizacja kartowa – instytucja finansowa udzielająca bankom licencji na wydawanie kart, obsługę transakcji oraz zapewniająca systemy do autoryzacji i rozliczania płatności. Na terenie Polski działają obecnie MasterCard, Visa, American Express, Dinners Club.

Na czym polega autoryzacja transakcji kartą płatniczą?

Aby transakcja za pomocą karty doszła do skutku, w bardzo krótkim czasie muszą być zweryfikowane następujące dane:

  • sprzedawca (akceptant) musi zyskać pewność, że karta jest ważna i aktywna, a osoba, która się nią posługuje, ma do tego prawo;
  • agent rozliczeniowy i organizacja płatnicza muszą uzyskać od banku potwierdzenie, że na koncie posiadacza karty znajdują się środki umożliwiające pokrycie transakcji (odpowiednie saldo na rachunku lub niewykorzystany limit debetowy).

Reasumując, autoryzacja płatności polega na wyrażeniu przez bank zgody na przeprowadzenie transakcji po sprawdzeniu autentyczności karty oraz dostępnego salda na rachunku.

Proces autoryzacji kart zatwierdzanych PIN-em lub podpisem

Wieloetapowa procedura autoryzacji rozpoczyna się z chwilą włożenia karty z chipem do czytnika terminala (lub przeciągnięcia karty z paskiem magnetycznym przez czytnik). W tym momencie urządzenie uzyskuje informacje o numerze karty i okresie jej ważności, dzięki czemu „wie”, że karta jest aktywna.

  1. Następnie terminal przesyła te dane do agenta rozliczeniowego i drukuje pierwszą część pokwitowania (zwaną potocznie slipem). Na wydruku znajduje się zazwyczaj adres punktu handlowego i obligatoryjnie: numer rozliczeniowy sklepu oraz numer karty.
  2. Agent rozliczeniowy dokonuje odbioru danych i poprzez odpowiednią sieć komputerową przesyła je do organizacji płatniczej (eksport danych jest równoznaczny z zapytaniem, czy transakcja na żądaną kwotę może być zrealizowana). Każda organizacja kartowa posiada swoją odrębną sieć informatyczną, np. dla kart VISA jest nią Visanet, a dla kart MasterCard - Banknet.
  3. Kolejnym etapem jest ostateczna autoryzacja transakcji. Emitent karty (bank) po otrzymaniu zapytania od organizacji płatniczej porównuje kwotę danej płatności bezgotówkowej ze stanem środków na rachunku klienta lub z dostępnym limitem zadłużenia.
  4. Jeżeli wartość transakcji nie przekracza wolnych środków klienta, bank przesyła kod autoryzacji do organizacji płatniczej i jednocześnie blokuje kwotę równą wartości dokonanej transakcji, znajdującą się na rachunku klienta.

    >Kod autoryzacji – wygenerowany przez komputer kod liczbowy, którego powtórzenie na dowodzie płatności uznaje się za prawidłowe dokonanie autoryzacji przez akceptanta.

    Warto dodać, że na tym etapie bank nie pobiera kwoty transakcji, a jedynie ją blokuje – oznacza to, że środki nadal znajdują się na naszym rachunku, lecz nie możemy z nich korzystać. Zmniejszenie salda o wartość zakupów następuje dopiero z chwilą rozliczenia transakcji.

    Także i w ten proces są zaangażowane różne podmioty (agent, bank, sprzedawca i organizacja płatnicza), to zaś sprawia, że rozliczenie płatności niekiedy się opóźnia lub dochodzi do spektakularnych pomyłek – wydana przez nas kwota w czarodziejski sposób nie uszczupla konta lub też „wraca” na nie w późniejszym terminie. W rzeczywistości mamy wówczas do czynienia z sytuacją, w której bank zwalnia blokadę zatrzymanych wcześniej środków w oczekiwaniu na rozliczenie płatności.

  5. W kolejnym etapie dochodzi do odwrócenia wcześniejszej kolejności: bank wysyła informację autoryzacyjną do organizacji płatniczej, która przekazuje ją agentowi rozliczeniowemu, ten zaś przesyła ją do terminala w punkcie handlowym. W tym samym czasie ma miejsce ostateczna weryfikacja właściciela karty płatniczej - aby transakcja została pomyślnie zakończona, klient musi wbić do tzw. pinpada numer PIN swojej karty. Jeżeli PIN jest poprawny, terminal drukuje pozostałą część pokwitowania.

Nieco inaczej przebiega zakończenie transakcji zatwierdzanej podpisem (warto jednak dodać, że obecnie tego typu operacje są przeprowadzane wyjątkowo rzadko). W tym przypadku dowód zapłaty drukowany jest natychmiast po otrzymaniu zgody autoryzacyjnej przez terminal. Klient musi złożyć na potwierdzeniu swój podpis, natomiast sprzedawca sprawdzić, czy zgadza się on z podpisem złożonym na rewersie karty, a dopiero potem zatwierdzić transakcję.

>Opisany wcześniej proces autoryzacji jest charakterystyczny dla tzw. czterostronnego modelu płatniczego, w którym biorą udział następujący uczestnicy: bank-wydawca karty, organizacja kartowa, agent rozliczeniowy i akceptant. Jednak w Polsce działają również systemy trójstronne, w których jeden podmiot (bank lub organizacja płatnicza) równocześnie pełni funkcję wystawcy i agenta rozliczeniowego. W tym modelu autoryzacja płatności trwa znacznie krócej.

Autoryzacja transakcji offline dokonanych kartą zbliżeniową

Podczas transakcji offline terminal nie łączy się z centrum autoryzacyjnym banku w celu sprawdzenia salda na rachunku posiadacza karty i sam weryfikuje dane konieczne do przeprowadzenia transakcji: numer, datę ważności karty oraz tzw. kod dynamiczny służący do autoryzacji transakcji zbliżeniowych. Warto jednak wiedzieć, iż jeśli płatność przekroczy 100 zł lub przewyższy limit transakcji zbliżeniowych dla danej karty, terminal wymusi przeprowadzenie całej operacji w „tradycyjny” sposób i uruchomi procedurę autoryzacyjną.

Jak przebiega autoryzacja karty zbliżeniowej w praktyce?

W przypadku bezstykowej karty płatniczej proces autoryzacji wygląda następująco:

  1.  Akceptant (sprzedawca) wprowadza do terminala kwotę transakcji. W tym momencie na górnej części pinpada zapala się zielona dioda, a kwota do zapłaty zostaje wyświetlona na ekranie czytnika.
  2. Kolejny ruch należy do klienta. Po sprawdzeniu, czy kwota jest prawidłowa, powinien on przyłożyć kartę do pinpada na odległość od 2 do 4 cm, a następnie poczekać na dźwiękowy sygnał oznaczający zatwierdzenie transakcji.

Ciekawostka: Poprawny odczyt danych karty przez terminal jest sygnalizowany przez zapalenie się kolejnych trzech diod znajdujących się nad wyświetlaczem pinpada oraz wyemitowanie długiego ciągłego sygnału dźwiękowego. Z kolei niepoprawny odczyt jest sygnalizowany krótkim podwójnym sygnałem dźwiękowym, a wszystkie cztery diody gasną.

Warto w tym miejscu wyjaśnić pewną kwestię, która intryguje wielu użytkowników kart zbliżeniowych – czy można przypadkowo zapłacić za coś w sklepie, niechcący przysuwając kartę zbyt blisko czytnika. Odpowiedź jest prosta – taka omyłkowa transakcja nie dojdzie do skutku, ponieważ przed tą czynnością terminal musi zostać aktywowany przez akceptanta. Jeśli sprzedawca tego nie zrobi, przypadkowe przyłożenie karty do pinpada nie spowoduje żadnych przykrych konsekwencji.

Plusy i minusy autoryzacji offline

Płatności offline są wygodne zarówno dla użytkownika karty, jak i dla sprzedawcy w sklepie. Akceptant nie ponosi kosztów połączeń telekomunikacyjnych z centrum autoryzacyjnym, zaś sama transakcja trwa o wiele krócej niż transakcja online, podczas której bank sprawdza stan środków na koncie użytkownika. Niestety, z autoryzacją mobilną wiąże się pewne ryzyko - ponieważ w chwili zakupów informacja o płatności nie trafia do banku-emitenta karty, nierozważni klienci mogą wydać więcej, niż faktycznie mają na rachunku i w konsekwencji wpaść w niedozwolony debet.

Brak autoryzacji karty – najczęstsze przyczyny

Najczęściej z odmową autoryzacji możemy spotkać się w przypadku transakcji zatwierdzanych PIN-em lub podpisem. Podmiotem, który ma wówczas prawo unieważnić płatność, jest bank lub akceptant karty (sprzedawca).

Blokada autoryzacji przez bank lub sprzedawcę

Zablokowanie transakcji przez bank ma najczęściej miejsce w dwóch sytuacjach:

  • gdy użytkownik karty nie ma wystarczających środków na rachunku;
  • gdy system autoryzacyjny banku zakwalifikuje daną płatność jako fraud (transakcję nieuprawnioną). W takim przypadku sprzedawca po zobaczeniu odpowiedniego komunikatu na wyświetlaczu terminala ma obowiązek anulowania płatności i zatrzymania karty.

Warto mieć świadomość, że takie zdarzenie – choć wyjątkowo dla klientów nieprzyjemne – jest podyktowane względami bezpieczeństwa. Systemy autoryzacyjne banków mają wbudowane zabezpieczenia ułatwiające wykrycie nieszablonowych i podejrzanych operacji. Jeżeli więc ni stąd ni zowąd płacimy kartą w sklepie jubilerskim w Pekinie lub przez kilka kolejnych dni kupujemy drogie telewizory, bank może uznać, że nasza karta wpadła w niepowołane ręce i jest wykorzystywana przez złodziei.

Ciekawostka: Użytkownicy kart spotykają się z odmową autoryzacji płatności najczęściej podczas zagranicznych wyjazdów. Jeżeli więc planujemy podróż w odległe, egzotyczne rejony świata, przed wyjazdem zgłośmy ten fakt w naszym banku.

Obowiązek autoryzacji płatności dotyczy również sprzedawców. Teoretycznie akceptant powinien mieć pewność, że karta ma wszystkie charakterystyczne elementy świadczące o jej oryginalności. W przypadku zauważenia takich nieprawidłowości, jak:

  • uszkodzenie karty;
  • zmiany na pasku do podpisu;
  • zmiany w obrębie numeru karty;
  • numer na wydruku z terminala niezgodny z numerem karty;
  • przekroczona data ważności karty.

powinien wstrzymać transakcję i skontaktować się z agentem rozliczeniowym. Ponadto ma prawo poprosić klienta o okazanie dokumentu potwierdzającego jego tożsamość. Warto jednak dodać, że w praktyce tak drobiazgowa weryfikacja zabezpieczeń kart płatniczych zdarza się naprawdę rzadko (najczęściej wtedy, gdy jakiś element wyglądu karty zaniepokoi sprzedawcę).

Ciekawostka: Jeśli karta płatnicza wzbudza jakiekolwiek podejrzenia, sprzedawca powinien telefonicznie poinformować o tym fakcie agenta rozliczeniowego, podając na początku rozmowy specjalny kod oznaczający niebezpieczeństwo i brak możliwości jawnego przekazywania informacji. W takim przypadku pracownik centrum autoryzacyjno-rozliczeniowego musi zadawać pytania w taki sposób, by odpowiedź na nie brzmiała „tak” lub „nie”.

Brak autoryzacji przy transakcjach z błędnym PIN-em

Także trzykrotne wprowadzenie błędnego kodu PIN powoduje automatyczne wstrzymanie procesu autoryzacyjnego i zablokowanie karty. W takiej sytuacji na ekranie terminala pojawia się komunikat „Zatrzymać kartę”, który obliguje sprzedawcę do wdrożenia procedury bezpieczeństwa ustalonej przez danego agenta rozliczeniowego. Najczęściej operator wymaga, by sprzedawca odebrał klientowi kartę, a następnie sporządził protokół jej zatrzymania. Bywa jednak, że narzuca sprzedawcy obowiązek fizycznego zniszczenia plastiku (kartę trzeba wówczas pociąć nożyczkami). Warto jednak dodać, iż ów zapis jest na tyle kontrowersyjny, że stosuje go obecnie niewielu agentów.

W protokole zatrzymania karty sprzedawca musi opisać przyczynę zatrzymania, podać numer karty, dane jej posiadacza, a także swoje dane personalne. Ciekawostką może być fakt, że za każdą zatrzymaną kartę akceptant otrzymuje od agenta nagrodę.

Natomiast jeśli transakcja nie jest weryfikowana przy pomocy numeru PIN, sprzedawca powinien sprawdzić, czy podpis złożony na rachunku zgadza się ze wzorem podpisu na karcie (nie dotyczy kart zbliżeniowych) oraz porównać numer karty z numerem, który jest częściowo lub w całości wydrukowany na rachunku.

W wyjątkowych przypadkach proces autoryzacyjny może być zablokowany przez sam terminal, bowiem urządzenie POS po skontrolowaniu numeru karty zawsze sprawdza, czy nie figuruje ona na tzw. stop-liście (wykazie kart skradzionych i zastrzeżonych). Jeśli tak jest, samoczynnie przerywa autoryzację i wyświetla komunikat dla sprzedawcy.

Reasumując, brak autoryzacji karty może mieć miejsce w następujących sytuacjach: 

  • na koncie nie mamy wystarczającej kwoty na pokrycie transakcji, 
  • karta straciła ważność lub jest uszkodzona (np. doszło do rozmagnesowania paska),
  • karta została zastrzeżona lub czasowo zablokowana, a my zapomnieliśmy o zdjęciu blokady,
  •  przekroczyliśmy dzienny limit transakcyjny karty, 
  • trzykrotnie podaliśmy błędny PIN karty, 
  • w naszym banku ma miejsce przerwa techniczna i płatności kartą są chwilowo niedostępne, 
  • bank zablokował kartę, gdyż uznał daną płatność za fraud czyli transakcję nieuprawnioną,
  • doszło do awarii systemu w banku lub awarii terminala. 

Komentarz redakcji

Autoryzacja transakcji kartami płatniczymi jest złożonym logistycznie procesem, w którym bierze udział kilka podmiotów, a uwierzytelnieniu podlega właściciel karty, sama karta oraz środki na pokrycie transakcji (saldo na rachunku).

Warto jednak wiedzieć, że w zależności od rodzaju plastiku – karta stykowa lub zbliżeniowa – proces autoryzacyjny przebiega w nieco inny sposób. W przypadku kart zbliżeniowych działających w trybie offline mamy do czynienia z bardzo uproszczoną autoryzacją, z której de facto jest wyłączony bank i sprzedawca (przy płatnościach nieprzekraczających 100 zł).

Przyjęty sposób autoryzacji transakcji bezstykowych powoduje, iż osoba postronna, która weszła w posiadanie karty zbliżeniowej, może bez problemu wykonać niskokwotową transakcję płatniczą. Jeżeli więc często posługujemy się kartą zbliżeniową, musimy samodzielnie zadbać o jej bezpieczeństwo i nie dopuścić do takiej sytuacji.


Komentarze

(10)
Sortuj od najnowszych
Dodaj swój komentarz...
I
Igor
Gość

Czy płatności ApplePay też mogą być autoryzowane i online i offline?

Odpowiedz

Krzysztof Duliński
Analityk produktów finansowych
@Igor

W pewnym uproszczeniu można powiedzieć, że Apple Pay to karta płatnicza, tyle, że ukryta w telefonie. Wiążą się z tym dwie kwestie dotyczące autoryzacji: potwierdzenie transakcji na linii sklep - bank oraz terminal - urządzenie z Apple Pay. Pierwsza jest niezależna od klienta, może się odbywać wg zasad opisanych w artykule. O przebiegu transakcji Apple Pay, czyli o drugiej z wspomnianych relacji, pisaliśmy w tym tekście: https://www.najlepszekonto.pl/apple-pay. Dla zrealizowania transakcji nie jest potrzebne połączenie z Internetem, wystarczy skorzystanie z wybranej metody autoryzacji.

Odpowiedz

K
Kris
Gość

Czy google pay dziala wogole w trybie offline?

Odpowiedz

Aldona Derdziak
Analityk produktów finansowych
@Kris

Nie spotkałam się z taką sytuacją, w samej aplikacji Google Pay zawsze widzę każdą transakcję.

Odpowiedz

C
czytelnik
Gość

"Z kolet niepoprawny odczyt jest sygnalizowany krótkim podwójnym sygnałem dźwiękowym, a wszystkie cztery diody gasną."


brawo wy, ale KOTLET :D

Odpowiedz

Aldona Derdziak
Analityk produktów finansowych
@czytelnik

Znalezione - poprawione! :)

Odpowiedz

H
Hubert
Gość

Autoryzacja PIN-em powoli odchodzi do lamusa. W necie można znaleźć mnóstwo filmików pokazujących, że można autoryzacji dokonać twarzą lub głosem. Ciekawe na ile to jest skuteczne. Przecież głos może się komuś zmienić (np. mutacja, przeziębienie). Twarz zresztą też, np. po udziale w wiejskiej dyskotece czy ustawce kiboli.

Odpowiedz

B
Browarek
Gość
@Hubert

Dooobreee! to chyba najskuteczniejsze byłoby skanowanie tęczówki oka. Statystycznie łatwiej się przeziębić czy dostać w twarz na dyskotece niż stracić oko :-ppp

Odpowiedz

D
DarkSide
Gość

Przede wszystkim to skoro karta mi została wydana, to ja jestem jej właścicielem i to ja mogę ją pociąć nożyczkami, jak mi przyjdzie na to ochota, a nie jakaś pani sprzedawczyni w sklepie, której się karta nie spodobała. Niszczenie karty jest zwykłym bezprawiem i tyle.

Odpowiedz

Beata Szymańska
Analityk produktów finansowych
@DarkSide

Niestety, jest trochę inaczej - jesteś użytkownikiem karty, a jej właścicielem jest bank. I bank może w umowie z operatorem terminala zawrzeć zapis, że karta, która wzbudza podejrzenia, powinna zostać zniszczona. To zaś powoduje, że operator wymaga tego samego od akceptanta (sprzedawcy).

Odpowiedz