Laskulla maksaminen on verkkokaupan villi länsi. Miten kauppias voi toimia vastuullisesti?

Omien ostosten maksaminen laskulla ei ole verkkokaupassa vaarallista, mutta kauppojen tekeminen väärillä henkilötiedoilla on paikoitellen jätetty helpoksi. Syitä tähän löytyy lain kiemuroista, tietämättömyydestä ja kauppiaan tavoitteesta tarjota mahdollisimman helppo ostokokemus.

Laskua ei lueta luottokortin tai verkkopankin tavoin viralliseksi maksutavaksi, joten se on lain silmissä tietynlainen väliinputoaja. Laki ottaa kantaa laskun maksuaikaan ja siihen, miten lasku pitää toimittaa, mutta tunnistautumisen osalta sääntelyä ei ole.

Asiakkaan vahvaan tunnistamiseen ei ole Suomessa yhtenäistä helppoa käytäntöä, ja tässä kohtaa alkaa muodostua ongelma. Jos vahvaa tunnistusta ei lain puolesta erikseen vaadita, tuntuu houkuttelevalta jättää turha varmistelu välistä ja tehdä näin ostaminen asiakkaalle helpommaksi.

Maksupalveluntarjoaja voi tehdä asiakkaan tunnistuksessa kaksi virhettä:

• Palvelu jätetään tietoturvaltaan heikoksi.
• Ostamisesta tehdään käyttäjälle tarpeettoman vaikeaa.

Kumpikaan näistä vaihtoehdoista ei tosin olisi tarpeen: on monta keinoa, joilla turvallinen tunnistautuminen ja helppokäyttöisyys voidaan yhdistää.

Qvikin Laskulla maksamisen mahdollisuudet ja riskit: Vakava tietomurto nostaa huolia -webinaarissa kuultiin maksupalveluntarjoajien ohjeita asiakkaan tunnistukseen ja tietojen käsittelyyn. Keskusteluun osallistuivat Collectorin Juuso Paulasuo, Svean Benny Öhman, OP Laskun Katja Kopra-Kullas, Fellow Financen Juho Putkonen, Arvaton Henri Komu sekä riippumaton tietoturva-asiantuntija Petteri Järvinen.

Sopimus maksupalveluntarjoajan kanssa on helppo tehdä varastetuilla tiedoilla

Poliisin tietoon tulleiden tietomurtojen määrä on lähes tuplaantunut viimeisen parin vuoden aikana. Identiteettivarkauksia ilmoitetaan satoja kuukaudessa. Vastaamon tietomurto ei vielä näy luvuissa, mutta piikki voi tulla viiveellä.

Yhä useamman tietoja käytetään väärin myös verkkokaupassa. Väärikäytön helppouden todisti panelistimme Juho Putkonen, joka tilasi hiljattain verkkokaupasta tuotteita laskulla tuttaviensa tiedoilla. Luvan kanssa tosin.

“Tein väärillä tiedoilla kaksi ostosta, eikä niiden tekemiseen tarvinnut edes käyttää hetua. Ostaminen onnistui ihan netistä löytyvillä henkilötiedoilla”, Putkonen sanoo. “Se oli pirun helppoa.”

Yksi ostos oli Fazerin suklaakonvehtirasia, jonka Putkonen toi tuliaiseksi webinaarivieraille.

Tosielämän petoksesta seuraa uhrille melkoinen rumba. Erityisen hankalaksi tilanne menee, jos väärinkäyttö tulee uhrille ilmi vasta, kun lasku on jo ehtinyt mennä perintään.

Kuka ottaa vastuun, kun laki ei määrää?

Väärällä identiteetillä tehty kauppa jää sopimuksista riippuen joko verkkokauppiaan tai maksupalveluntarjoajan tappioksi. Kauppias voi halutessaan valita heikompia tai välttäviä tunnistusvaihtoehtoja, joissa ostaminen on helppoa, mutta kuluttajilla on suurempi riski joutua petoksen uhriksi. Tällöin usein sovitaan, että petoksen ilmetessä taloudellinen riski jää kauppiaan harteille.

“Niin kauan kuin ei ole laitonta jättää vahvaa tunnistautumista väliin, kaikki kauppiaat eivät tule sitä vaatimaan”, Öhman sanoo.

“Toisaalta alalla on suuri määrä valveutuneita kauppiaita, jotka miettivät myös huonon tietoturvan aiheuttavaa mainehaittaa”, Komu sanoo.

Paneelissa mietittiin, voisiko vahvasta tunnistautumisesta tulla kuluttajallekin luottamusta herättävä kokemus. Vastaamon tietoturvamurron uskotaan vaikuttavan yleiseen tietoisuuteen verkkokaupan turvallisuudesta.

“Voisivatko alan toimijat luoda asiakasluottamusta voimistavan sertifikaatin, joka kertoisi heti, että verkkosivulta ostaminen vaatii vahvaa tunnistusta ja noudattaa tiettyjä turvastandardeja?”, ehdotti Järvinen.

Nähtäväksi jää, riittääkö markkinaehtoinen toiminta parantamaan laskulla maksamisen tietoturvaa riittävästi vai täytyykö lainsäädännön puuttua tilanteeseen.

Vastuullisen verkkokauppiaan checklist

Tällä hetkellä useilla isoillakin toimijoilla on lepsu ote asiakkaan tunnistukseen. Mikäli haluat vaikeuttaa tietomurron, petoksen tai identiteettivarkauden tekemistä verkkokaupassasi, tarkista ainakin nämä asiat.

1. Millä tiedoilla oston voi verkkokaupassanne tehdä?

Verkkokaupan tietoturva on heikko, jos oston voi tehdä arvattavissa olevilla tai helposti saatavissa olevilla tiedoilla. Tällaisia ovat esimerkiksi nimi, osoite, postinumero, sähköpostiosoite, puhelinnumero ja syntymäaika.

2. Onko asiakasta tunnistettu kunnolla kertaakaan?

Tietoturva paranee huomattavasti jo sillä, että asiakas tunnistetaan vahvasti ensimmäisen oston yhteydessä.

3. Kuinka tunnistamiseen käytettäviä asiakastietoja voi muuttaa?

Asiakas on tärkeää tunnistaa olennaisia tietoja muutettaessa. Jos asiakas yrittää muuttaa esimerkiksi puhelinnumeroaan tai omia yhteystietojaan, hänet pitäisi tunnistaa vahvasti.

4. Millä tolalla sisäinen tietoturvaosaaminen on?

Tietovuotoihin liittyy usen huolimattomuus, piittaamattomuus tai inhimillinen virhe. Kouluta sisäinen osaaminen riittävälle tasolle ja varmista, että verkkokauppaan liittyvät sertifikaatit ovat ajan tasalla.

Myös asiakaspalvelu olennainen osa tietoturvaa. Tee selväksi, mitä asiakaspalvelun kautta voi hoitaa, mitä muutoksia asiakaspalvelu voi tehdä ja mitä tietoja saa antaa esimerkiksi puhelimitse.

5. Kuinka tietoja käsitellään? Vinkki: GDPR

GDPR kuvaa tietojenkäsittelyvaatimuksia hyvin – tarkista, kuka teillä saa käsitellä mitäkin tietoja ja miten tietoja pitää säilyttää. Yksi GDPR:n vaatimus on, että firmaan pitää nimetä DPO eli data protection officer.

GDPR:n ohjeita noudattamalla data on parhaiten käytäntöjen mukaan suojattu ja prosessit ovat kunnossa.