«Η ΠΡΟΣΤΑΣΙΑ ΤΟΥ ΚΑΤΑΝΑΛΩΤΗ ΣΤΙΣ ΑΓΟΡΕΣ ΜΕΣΩ ΠΙΣΤΩΤΙΚΩΝ ΚΑΡΤΩΝ»

Transcript

1 ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΒΑΛΑΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ «Η ΠΡΟΣΤΑΣΙΑ ΤΟΥ ΚΑΤΑΝΑΛΩΤΗ ΣΤΙΣ ΑΓΟΡΕΣ ΜΕΣΩ ΠΙΣΤΩΤΙΚΩΝ ΚΑΡΤΩΝ» Λάγιου Βασιλική Α.Μ. : 23 Επιβλέπουσα καθηγήτρια : Κα Καλαμπούκα ΤΜΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΤΕΙ ΚΑΒΑΛΑΣ 2007

2 Περιεχόμενα Εισαγωγή... 4 Κεφάλαιο Ηλεκτρονική Οικονομία Ηλεκτρονική Τραπεζική Ηλεκτρονικό επιχειρείν Ηλεκτρονικό εμπόριο Κεφάλαιο Ηλεκτρονική τραπεζική και πληρωμές Έννοια ηλεκτρονικής τραπεζικής Οφέλη τραπεζών από την ηλεκτρονική τραπεζική Ηλεκτρονικές πληρωμές Παραδοσιακά συστήματα ηλεκτρονικών πληρωμών Καινοτόμα συστήματα ηλεκτρονικών πληρωμών Η πιστωτική κάρτα Η ηλεκτρονική τραπεζική στην Ελλάδα Κεφάλαιο Ζητήματα ασφαλείας Πρότυπη δομή συστημάτων ηλεκτρονικού χρήματος Στόχοι ασφάλειας συστημάτων ηλεκτρονικού χρήματος Κρυπτογράφηση Ηλεκτρονική υπογραφή Η τεχνολογία SSL Κεφάλαιο Η ΠΑΡΑΒΙΑΣΗ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΙΣ ΠΙΣΤΩΤΙΚΕΣ ΚΑΡΤΕΣ Ελληνική νομοθεσία ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (Ν.3471/06) Ορισμός και έννοιες Αρχές επεξεργασίας προσωπικών δεδομένων Προϋποθέσεις επεξεργασίας και εξαιρέσεις

3 Διασύνδεση αρχείων Διασύνοριακή ροή δεδομένων Δικαίωμα του υποκείμενου των δεδομένων Δικαίωμα ενημέρωσης Δικαίωμα πρόσβασης Δικαίωμα αντίρρησης ΠΡΟΣΤΑΣΙΑ ΤΟΥ ΚΑΤΑΝΑΛΩΤΗ (Ν. 3587/07) Ορισμός καταναλωτή Γενικοί όροι συναλλαγών συναλλακτική ανισότητα Χρηματοοικονομικές υπηρεσίες εξ αποστάσεως Κεφάλαιο Ευρωπαϊκή νομοθεσία Ηλεκτρονικές πληρωμές Κανονισμός 87/598/ΕΟΚ για ευρωπαϊκό κώδικα δεοντολογίας σε θέματα ηλεκτρονικών πληρωμών Νομικό πλαίσιο πληρωμών Λοιπές αποφάσεις Σύγκριση ελληνικής και ευρωπαϊκής νομοθεσίας Συμπεράσματα Βιβλιογραφία

4 Εισαγωγή Η ηλεκτρονική τραπεζική τα τελευταία χρόνια έχει κάνει την εμφάνιση της και στην χώρα μας και έχει παρουσιάσει σημαντικά χαρακτηριστικά επέκτασης και ανάπτυξης. Διευκόλυνε σε μεγάλο βαθμό τις τραπεζικές συναλλαγές, περιόρισε το χ ρόνο αναμονής και έκανε τον τραπεζικό τομέα πιο προσιτό προς τους πελάτες. Ωστόσο η ηλεκτρονική τραπεζική λόγω της ραγδαίας ανάπτυξης που παρουσίασε, εμφάνισε και πολλά προβλήματα τα οποία ήταν αναγκαίο να ξεπεραστούν με την κατάλληλη νομοθεσία. Ειδικότερα τέθηκαν επί τάπητος θέματα σχετικά με την ασφάλεια και την προστασία του καταναλωτή και την διασφάλιση προσωπικών δεδομένων προκειμένου να ξεπεραστούν τυχόν εξαπατήσεις σε επίπεδο ηλεκτρονικής τραπεζικής και συγκεκριμένα χρήσης πιστωτικών καρτών. Η Ευρωπαϊκή Ένωση στην προσπάθεια της να διασφαλίσει τον ευρωπαίο καταναλωτή προέβη στην θέσπιση ειδικής νομοθεσίας για την ηλεκτρονική τραπεζική την οποία τα κράτη μέλη θα πρέπει να ακολουθούν και να προσαρμόζονται. Η Ελλάδα όπως και κάθε χώρα έχει την δική της νομοθεσία την οποία εναρμονίζει στην ευρωπαϊκή και ακολουθεί τις Οδηγίες που θέτει η Ε.Ε. Ωστόσο στην Ελλάδα υπάρχουν ακόμα σημαντικά προβλήματα όπως για παράδειγμα ελλιπής νομοθεσία, αδυναμία περιορισμού των ηλεκτρονικών εξαπατήσεων, έλλειψη εμπιστοσύνης των καταναλωτών κ.α. Στην μελέτη αυτή καλούμαστε να εξετάσουμε την ηλεκτρονική τραπεζική και ειδικότερα την χρήση πιστωτικών καρτών και πως 4

5 μπορεί να διασφαλιστεί ο καταναλωτής μέσα από την εθνική και ευρωπαϊκή νομοθεσία. Αναλύονται οι βασικές έννοιες της ηλεκτρονικής τραπεζικής, των πιστωτικών καρτών και των ηλεκτρονικών αγορών, παρουσιάζεται η ελληνική και η ευρωπαϊκή νομοθεσία γύρω από τις ηλεκτρονικές αγορές καθώς επίσης και συστήματα ασφαλείας ηλεκτρονικών πληρωμών. Στόχος της μελέτης αυτής είναι να παρουσιάσει τις τάσεις της ηλεκτρονικής αγοράς, να αναλύσει την ισχύουσα νομοθεσία και να μελετήσει τα προβλήματα που υπάρχουν στον χώρο και να δει τελικά με ποιους τρόπους προστατεύεται ο καταναλωτής από την χρήση των πιστωτικών καρτών. 5

6 Κεφάλαιο 1 Ηλεκτρονική Οικονομία 1.1. Ηλεκτρονική Τραπεζική Πριν κάνουμε ανάλυση των πιστωτικών καρτών και των ηλεκτρονικών πληρωμών είναι αναγκαίο να παρουσιάσουμε τον ορισμό της ηλεκτρονικής τραπεζικής. Πρωταγωνιστικό ρόλο στη χρήση τέτοιων συστημάτων έχουν οι τράπεζες, οι οποίες αναζητούν συνεχώς νέους τρόπους προσέγγισης και αύξησης των πελατών τους, ενώ προσπαθούν να προωθήσουν τα προϊόντα τους. Αποτέλεσμα αυτής της προσπάθειας είναι η ανάπτυξη της Ηλεκτρονικής Τραπεζικής. Γενικά ως Ηλεκτρονική Τραπεζική ορίζεται ως το σύνολο των τραπεζικών εργασιών, παραδοσιακών και νεώτερων, η πραγματοποίηση των οποίων γίνεται εξ αποστάσεως και απαραίτητα με χρήση ενός ηλεκτρονικού μέσου. Ένας άλλος ορισμός που δίνεται είναι η «υλοποίηση τραπεζικών συναλλαγών από απόσταση με χρήση εναλλακτικών καναλιών επικοινωνίας μεταξύ τράπεζας και πελάτη, που βασίζονται στη σύγχρονη τεχνολογία» 1. Κάποιοι από τους ορισμούς της Ηλεκτρονικής Τραπεζικής που συναντώνται στη βιβλιογραφία είναι παρεμφερείς, κάποιοι άλλοι διαφέρουν, ανάλογα με τα στοιχεία τα οποία ο κάθε ορισμός θεωρεί πιο σημαντικά. Η Ελληνική Ένωση Τραπεζών ορίζει ως Ηλεκτρονική Τραπεζική το σύνολο των εμπορικών συναλλαγών μεταξύ τραπεζών και 1 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 6

7 των πελατών τους με τη χρήση ηλεκτρονικών δικτύων, οι οποίες βοηθούν στην προώθηση τραπεζικών προϊόντων (ή υπηρεσιών) 2. Η Ηλεκτρονική Τραπεζική θεωρείται ένα υποσύνολο της Τραπεζικής από απόσταση (remote-banking). Σύμφωνα με τους Α. Μήλιου & Α. Πομπόρτση Τραπεζική από απόσταση θεωρείται το σύνολο των συναλλαγών που διεξάγονται χωρίς την άμεση επαφή πελάτη-τράπεζας, αλλά με τη χρήση ενός μέσου 3. Άλλοι τομείς της Τραπεζικής από απόσταση είναι η Τραπεζική μέσω τηλεφώνου (telephone-banking), η Τραπεζική μέσω υπολογιστή (PCbanking), η Τραπεζική μέσω Διαδικτύου (internet -banking) και η Τραπεζική μέσω κινητού τηλεφώνου (mobile-banking ή m-banking). Η ελληνική τουλάχιστον βιβλιογραφία μπορεί συχνά να δημιουργήσει σύγχυση στην αποσαφήνιση των παραπάνω όρων, καθώς κάποιες υποκατηγορίες, όπως η Τραπεζική μέσω Διαδικτύου και η Τραπεζική μέσω υπολογιστή δεν έχουν σαφή όρια. Η συχνή χρήση του υπολογιστή για πρόσβαση στο Διαδίκτυο και επομένως στις ιστοσελίδες των τραπεζών τείνει να ταυτοποιήσει τους δύο όρους. Ιδιαίτερα ο χαρακτήρας της ελληνικής αγοράς, με χαμηλό βαθμό διείσδυσης των νέων τεχνολογιών, συμβάλλει σε κάτι τέτοιο, καθώς η πρόσβαση σε τραπεζικές υπηρεσίες μέσω κινητών ή υπολογιστών με χρήση τεχνολογίας πρωτοκόλλων WAP είναι ουσιαστικά αδύνατη ή τουλάχιστον πολύ περιορισμένη. Τέλος η φύση του Διαδικτύου, ένα σύνολο διασυνδεδεμένων μεταξύ τους δικτύων, μπορεί να οδηγήσει τελικά στη συγχώνευση κάποιων κατηγοριών ή στο διαχωρισμό κάποιας από αυτές σε περισσότερες. 2 Σινανιώτη-Μαυρουδή, Α., & Ι.Δ.Φαρσαρώτας, 2000, «Ηλεκτρονική Τραπεζική», Ένωση Ελληνικών Τραπεζών 3 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 7

8 Αξίζει εδώ να σημειωθεί ότι σύμφωνα με έρευνα της Deutsche Bank η είσοδος στην αγορά κινητών τηλεφώνων τρίτης και τέταρτης γ ενιάς μπορεί να δώσει νέα ώθηση στη χρήση νέων τεχνολογιών για παροχή τραπεζικών υπηρεσιών και προϊόντων Ηλεκτρονικό επιχειρείν Η διαφορά ανάμεσα σε αυτούς τους δύο όρους δεν είναι πολύ μεγάλη. Και στις δύο περιπτώσεις χρησιμοποιούνται συστήματα ηλεκτρονικών πληρωμών, μέσα από τα οποία διακινούνται ποσότητες ηλεκτρονικού χρήματος. Γενικά η έννοια του Ηλεκτρονικού Επιχειρείν θεωρείται ευρύτερη από αυτήν του Ηλεκτρονικού Εμπορίου, καθώς αναφέρεται σε ένα ευρύτερο σύνολο δραστηριοτήτων. Πιο συγκεκριμένα το Ηλεκτρονικό Επιχειρείν χρησιμοποιεί : ασφαλή δίκτυα περιορισμένης εξωτερικής πρόσβασης (secure extranets) δίκτυα εσωτερικής, ενδοεταιρικής επικοινωνίας (intranets), μη προσβάσιμα από εξωτερικές πηγές και το ανοικτό σε όλους Διαδίκτυο (Internet). Ένας πιο συγκεκριμένος ορισμός του Ηλεκτρονικού Επιχειρείν σχετίζεται με τον τρόπο με τον οποίο μία εταιρεία προσαρμόζει και γενικά μετασχηματίζει τις εσωτερικές της διαδικασίες, ενσωματώνοντας υπηρεσίες και τεχνολογίες του Διαδικτύου. Οι λόγοι για τους οποίους μια εταιρεία προβαίνει σε ένα τέτοιο μετασχηματισμό είναι η βελτίωση των παρεχόμενων υπηρεσιών στους πελάτες της, αλλά και η ταχύτερη και ομαλότερη εσωτερική λειτουργία 4 International Telecommunications Society, 2004, «E-Payment Systems: Chance only in the medium Term», Βερολίνο 8

9 της, με σκοπό την αύξηση των κερδών της και την αύξηση του μεριδίου της στην αγορά. Αυτός ο διπλός άξονας εφαρμογής του Ηλεκτρονικού Επιχειρείν αποτελεί και ένα κριτήριο για τον καθορισμό υποκατηγοριών, κάτι που ταυτόχρονα διαχωρίζει και τις ηλεκτρονικές πληρωμές σε αντίστοιχες κατηγορίες, ανάλογα με το σκοπό για τον οποίο χρησ ιμοποιούνται 5. Έτσι υπάρχει το Ηλεκτρονικό Επιχειρείν μεταξύ επιχειρήσεων (Β2Β), μεταξύ επιχείρησης και καταναλωτή (Β2C) και το ενδοεταιρικό Επιχειρείν (βασισμένο στα ενδοεταιρικά δίκτυα-intranets). Στην πρώτη περίπτωση το Ηλεκτρονικό Επιχειρείν αφορά σ υναλλαγές και επικοινωνία μεταξύ εταίρων ή εταιρειών με σχέση εμπόρου -πελάτη. Όσον αφορά τις ηλεκτρονικές πληρωμές, αυτές χρησιμοποιούνται για τις μεταφορές κεφαλαίων μεταξύ των εταίρων ενός ομίλου εταιρειών ή την αποπληρωμή προμηθευτών και τροφοδοτών. Επομένως οι διαδικασίες για την ολοκλήρωση αυτών των συναλλαγών πρέπει να αναδιαμορφωθούν, στα πλαίσια της ένταξης των εταιρειών στο Ηλεκτρονικό Επιχειρείν. Όταν μια επιχείρηση συναλλάσσεται απευθείας με τους καταναλωτές και αναμένει την πληρωμή της από αυτούς με ένα γρήγορο και οικονομικό όσο και ασφαλή τρόπο, αναπτύσσει το B2C μοντέλο. Στην περίπτωση αυτή το Διαδίκτυο χρησιμοποιείται για την προσφορά προϊόντων στους καταναλωτές και την αποπληρωμή τους χωρίς την παρεμβολή κάποιου ενδιάμεσου. 5 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 9

10 Αντίθετα με την προηγούμενη περίπτωση οι πελάτες είναι άτομα και ως εκ τούτου χρησιμοποιούν διαφορετικά συστήματα στις μεταξύ τους συναλλαγές. Επομένως υπάρχει μεγαλύτερη ανάγκη για συμβατότητα των συστημάτων αυτών, αλλά η μειωμένη πολυπλοκότητα οδηγεί σε μειωμένα μέτρα ασφάλειας. Τέλος τα ενδοεταιρικά δίκτυα χρησιμοποιούνται για την επικοινωνία μεταξύ των μελών μιας επιχείρησης και ως μέσα καλύτερης και ομαλότερης συνεργασίας των στελεχών και των υπαλλήλων μεταξύ τους. Οι παροχές προς τους εργαζόμενους, η τακτοποίησ η των οικονομικών εκρεμμοτήτων μεταξύ των διαφορετικών υπηρεσιών και τμημάτων μιας εταιρείας και η μετάδοση της εταιρικής κουλτούρας είναι μερικές από τις εφαρμογές των ενδοεταιρικών δικτύων. Τα δίκτυα αυτά είναι πολύτιμα εργαλεία για την υλοποίηση του Ηλεκτρονικού Επιχειρείν και φυσικά για τη σωστή και πλήρη λειτουργία τους πρέπει να ενσωματώνουν και συστήματα ηλεκτρονικών πληρωμών, με τον κατάλληλο βαθμό ασφάλειας και λειτουργικότητας Ηλεκτρονικό εμπόριο Ένας άλλος τομέας της οικονομίας όπου βρίσκουν εφαρμογή συστήματα ηλεκτρονικών πληρωμών είναι το Ηλεκτρονικό Εμπόριο (e- Commerce). Γενικά το Ηλεκτρονικό Εμπόριο θεωρείται ως ένα υποσύνολο του Ηλεκτρονικού Επιχειρείν. Στην πραγματικότητα αυτό που διαφοροποιεί τις δύο έννοιες, είναι ότι οι επιχειρήσεις επιδίδονται στο Ηλεκτρονικό Εμπόριο χρησιμοποιώντας συγκεκριμένα κανάλια επικοινωνίας. 6 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 10

11 Η ένταξη των δραστηριοτήτων αυτών σε ένα σαφέστερο πλαίσιο λόγω και των ιδιαίτερων χαρακτηριστικών (απαιτήσεις, πολυπλοκότητα και πλαίσιο λειτουργίας) των επιχειρήσεων σε σχέση με τα απλά άτομα, είναι αυτό που καθορίζει εν ολίγοις τα όρια και τα χαρακτηριστικά του Ηλεκτρονικού Επιχειρείν. Πιο συγκεκριμένος ορισμός για το Ηλεκτρονικό Εμπόριο δίνεται και πάλι από τους Α. Μήλιου και Α. Πομπόρτση, σύμφωνα με τους οποίους Ηλεκτρονικό Εμπόριο εννοείται το σύνολο των εμπορικών δραστηριοτήτων και συναλλαγών, το οποίο πραγματοποιείται με τη χρήση αποκλειστικά ηλεκτρονικών μέσων και κυρίως του Διαδικτύου 7. Ουσιαστικά ως Ηλεκτρονικό Εμπόριο ορίζεται το εμπόριο, η άσκηση του οποίου πραγματοποιείται με ηλεκτρονικά μέσα, ενώ οι συναλλαγές γίνονται μέσω τηλεπικοινωνιακών δικτύων και ιδίως μέσω του Διαδικτύου. Ο διαχωρισμός των συναλλαγών του Ηλεκτρονικού Εμπορίου σε κατηγορίες ακολουθεί το συνήθη κανόνα, δηλαδή βασίζεται σ το χαρακτήρα των συναλλασσομένων. Έτσι υπάρχει το Ηλεκτρονικό Εμπόριο B2B, B2C, B2G και C2G, όπου εμπλέκονται οι καταναλωτές (C), οι επιχειρήσεις (B) και οι δημόσιες αρχές (G). Οι κυριότερες μέθοδοι του ηλεκτρονικού εμπορίου είναι: Το Ηλεκτρονικό Χρήμα (e-cash), μία νέα μορφή χρήματος. Οι Ηλεκτρονικές Επιταγές (e-checks), οι οποίες στην ουσία αποτελούν την ηλεκτρονική μορφή των κοινών επιταγών. Εκδίδονται από ειδικά εξουσιοδοτημένα ιδρύματα και εξαργυρώνονται από έναν οργανισμό εκκαθάρισης των επιταγών (clearing house). 7 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 11

12 Οι Πιστωτικές Κάρτες (credit cards), ο πιο συχνά χρησιμοποιούμενος τρόπος πληρωμών μέσω Διαδικτύου. Οι Μικροσυναλλαγές (micropayments), ένας τρόπος πληρωμών που βρίσκεται σε στενή συνάφεια με τις ηλεκτρονικές πληρωμές και ειδικότερα το ηλεκτρονικό χρήμα 8. 8 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 12

13 Κεφάλαιο 2 Ηλεκτρονική τραπεζική και πληρωμές 2.1. Έννοια ηλεκτρονικής τραπεζικής Η ραγδαία εξάπλωση του internet έχει δημιουργήσει αρκετές νέες κατηγορίες υπηρεσιών. Μια από αυτές είναι το e -banking, μέσω του οποίου ο χρήστης έχει τη δυνατότητα να πραγματοποιεί συναλλαγές με την τράπεζα του από την οθόνη οποιουδήποτε υπολογιστή. Ο χρήστης έχει τη δυνατότητα, εκτός από τα στατιστικά στοιχεία για τους λογαριασμούς του να κάνει μεταφορές χρημάτων, να ελέγχει την πορεία των πιστωτικών καρτών καθώς και να πληρώνει διάφορους λογαριασμούς. Παράλληλα δεν είναι λίγες οι τράπεζες που παρέχουν υπηρεσίες προστιθέμενης αξίας όπως η παρακολούθηση του χαρτοφυλακίου 9. Ειδικότερα το Electronic Banking είναι όρος -ομπρέλα για τη διαδικασία που ο πελάτης διεξάγει τραπεζικές συναλλαγές ηλεκτρονικά χωρίς να χρειάζεται να μεταβεί σε κατάστημα πιστωτικού ιδρύματος. Στην Ελλάδα το φάσμα των τραπεζικών υπηρεσιών που μπορεί να προσφερθεί μέσω ηλεκτρονικής τραπεζικής χωρίζεται σε δυο κατηγορίες: α) Πληροφοριακές συναλλαγές όπως οι πληροφορίες για τα υπόλοιπα και τις κινήσεις τραπεζικών λογαριασμών, πιστωτικών καρτών και δανείων, η παρακολούθηση επιτοκίων και η αλλαγή προσωπικών στοιχείων και β) Οικονομικές συναλλαγές όπως η 9 Silvain de Munck, & Jan Stroeken, & Richard Hawkins, 2001, «E-commerce in the banking sector», TNO Report, Technology and Policy, Holland. 13

14 μεταφορά κεφαλαίων, η πληρωμή λογαριασμών, πληρωμή φόρων εξυπηρέτηση παγίων εντολών, πληρωμές πιστωτικής κάρτας. Με τον όρο ηλεκτρονική τραπεζική (e-banking) εννοούμε όλες τις δυνατές συναλλαγές μιας τράπεζας που τελούνται με χρήση ηλεκτρονικών μέσων, κυρίως μέσω του διαδικτύου αλλ ά και μέσω VPNs, Intranet, Extranet, σταθερού και κινητού τηλεφώνου και δεν απαιτούν την φυσική παρουσία του πελάτη σε κατάστημα της Τράπεζας. Ένας πιο απλός ορισμός που θα έλεγε κανείς πως συνδέει την ηλεκτρονική τραπεζική (e-banking) με το ηλεκτρονικό εμπόριο (ecommerce) είναι ο εξής: Αυτοματοποιημένη παροχή νέων και παραδοσιακών προϊόντων και υπηρεσιών, απευθείας στους πελάτες, μέσω ηλεκτρονικών, αλληλεπιδραστικών καναλιών επικοινωνίας 10. Η ηλεκτρονική τραπεζική στην χώρα μας βρίσκεται σε ένα πολύ κρίσιμο στάδιο. Αυτό συμβαίνει διότι το internet άργησε να εξαπλωθεί στην Ελλάδα σε σχέση με άλλες χώρες του κόσμου. Η χρήση του internet στη χώρα μας έφτασε τον Μάρτιο του 2004 στο 28%, την ίδια ώρα που σε άλλες Ευρωπαϊκές χώρες το ποσοστό αυτό αγγίζει το 40 %. Παρά την καθυστέρηση της αφομοίωσης του internet στην Ελλάδα, στις μέρες πολλοί χρησιμοποιούν το internet καθημερινά για διάφορους λόγους είτε για αναζήτηση πληροφοριών, είτε για διασκέδαση, είτε για να εκπληρώσουν διάφορες οικονομικές συναλλαγές. Πλέον το Διαδίκτυο έχει γίνει χρήσιμο εργαλείο στα χέρια τόσο των επιχειρήσεων όσο και των ιδιωτών δημιουργώντας μεταξύ τους μια νέα σχέση εμπόρου-καταναλωτή κάτω από νέες συνθήκες και νέους όρους. 10 Μήλιου Α., & Α. Πομπόρτσης, 2004, «Υπηρεσίες Προστιθέμενης Αξίας στο Διαδίκτυο», Εκδόσεις Τζιόλα, Αθήνα 14

15 Διευκολύνει τις μεταξύ τους συναλλαγές και δίνει στο εμπό ριο την έννοια του ηλεκτρονικού εμπορίου, ενώ δημιουργείται ένα τρίγωνο που η μια του κορυφή αντιστοιχεί στην ηλεκτρονική τραπεζική (e - banking) Οφέλη τραπεζών από την ηλεκτρονική τραπεζική Οι τράπεζες αξιολογώντας το κόστος που έχουν για τις συ ναλλαγές με το κοινό μέσω των διαφόρων καναλιών που διαθέτουν (γκισέ, ATM, phone banking, Internet banking, κ.λ.π.), διαπίστωσαν ότι είναι το μικρότερο ανά συναλλαγή μέσω Internet banking σε σχέση με τα υπόλοιπα κανάλια. Μάλιστα, όσο αυξάνονται οι χρήστες του Internet banking τόσο μειώνεται το μέσο κόστος ανά συναλλαγή για την τράπεζα μέσω του συγκεκριμένου καναλιού, καθώς η υποδομή είναι σε γενικές γραμμές η ίδια. Αυτό δεν συμβαίνει στον ίδιο βαθμό και με τα υπόλοιπα κανάλια, καθώς αύξηση του αριθμού των συναλλαγών στο γκισέ ενδεχομένως να σημάνει και αύξηση του προσωπικού στα γκισέ. Ένας άλλος λόγος, για τον οποίο οι τράπεζες στρέφονται στο Internet banking, είναι για την κάλυψη των αναγκών ομάδων πελατών τους, στους οποίους το παραδοσιακό ωράριο των τρ απεζών δεν είναι αρκετό. Φυσικά, δεν πρέπει να ξεχνάμε και την ανάγκη για εκσυγχρονισμό των παρεχόμενων υπηρεσιών από τις τράπεζες και την ανάγκη για κάλυψη νέων αναγκών των πελατών τους, αρκετοί από τους οποίους επιθυμούν νέα προϊόντα και νέους τρόπους διαχείρισης της τραπεζικής τους σχέσης, χωρίς την πολύωρη αναμονή στις ουρές των υποκαταστημάτων. 11 Silvain de Munck, & Jan Stroeken, & Richard Hawkins, 2001, «E-commerce in the banking sector», TNO Report, Technology and Policy, Holland. 15

16 Το παράδειγμα της Winbank Η winbank η υπηρεσία ηλεκτρονικής τραπεζικής της Τράπεζας Πειραιώς δημιουργήθηκε τον Ιανουάριο του 2000, παρέχει υπηρεσίες ηλεκτρονικής τραπεζικής τόσο μέσω Internet, όσο και μέσω σταθερού και κινητού τηλεφώνου και είναι η πρώτη πιο ολοκληρωμένη και πιο βραβευμένη υπηρεσία Ηλεκτρονική Τραπεζική στην Ελλάδα. Η Τράπεζα Πειραιώς δε μπήκε στην ηλεκτρονική αγορά απλά μεταφέροντας στο διαδίκτυο αυτά που παρέχει στα τραπεζικά καταστήματα. Η winbank είναι πρωτοπόρος στην ελληνική αγορά και σε ό,τι αφορά την οργανωτική δομή της. Η Τράπεζα Πειραιώς δημιούργησε μια ξεχωριστή επιχειρησιακή μονάδα με το δικό της brand name και διαφορετική στελέχωσ η. Η δομή αυτή δίνει αυτονομία και ευελιξία στη winbank, χωρίς αυτό να σημαίνει ότι δρα ανεξάρτητα από τις άλλες μονάδες της Τράπεζας. Αντίθετα, έμφαση δίνεται στην ανάπτυξη συνεργιών με αυτές, καθώς η winbank εμπλέκεται «οριζόντια» σε όλες τις λειτουργίες της Τράπεζας Ηλεκτρονικές πληρωμές Οι ηλεκτρονικές πληρωμές αρχικά ταξινομούνται με βάση: Το είδος της πληροφορίας που ανταλλάσσεται μεταξύ των μερών. Έτσι, μπορούμε να διακρίνουμε τα συστήματα ηλεκτρονικών πληρωμών σε αυτά που απαιτούν την ύπαρξη τραπεζικού λογαριασμού όπως οι χρεωστικές ή οι πιστωτικές κάρτες και σε αυτά που λειτουργούν με την ανταλλαγή

17 γραμματίων ηλεκτρονικής μορφής κατ αντιστοιχία των τραπεζογραμματίων όπως είναι το ηλεκτρονικό χρήμα. Την καινοτομικότητα του συστήματος. Στην περίπτωση αυτή τα συστήματα ηλεκτρονικών πληρωμών διακρίνονται σε αυτά που προϋπήρχαν του ηλεκτρονικού επιχειρείν και απλά προσαρμόστηκαν για τη χρήση τους στο Διαδίκτυο όπως οι πιστωτικές κάρτες και οι ηλεκτρονικές επιταγές Παραδοσιακά συστήματα ηλεκτρονικών πληρωμών Πιστωτικές κάρτες. Οι πιστωτικές κάρτες επιτρέπουν στους καταναλωτές την πραγματοποίηση συναλλαγών μέχρι ενός προκαθορισμένου ποσού. Οι πιστωτικές κάρτες έχουν τύχει χρήσης στο Διαδίκτυο επειδή διαθέτουν σημαντικά πλεονεκτήματα έναντι των εναλλακτικών μεθόδων πληρωμής. Κατ αρχήν είναι διεθνώς γνωστές και αποδεκτές από τους εμπόρους. Επιπλέον, η σημαντική διάδοση των πιστωτικών καρτών και στις παραδοσιακές συναλλαγές έχει συντελέσει στη δημιουργία μιας ιδιαίτερα αποτελεσματικής υποδομής για την εκκαθάριση των πληρωμών η οποία μάλιστα επιτρέπει και την πραγματοποίηση διεθνών συναλλαγών. Μεταφορά ποσών επί πιστώσει. Σε αυτό το σύστημα πληρωμών ο καταναλωτής δίνει εντολή στην τράπεζα του να μεταφέρει χρηματικά ποσά ανάλογα της πληρωμής που θέλει να πραγματοποιήσει στον λογαριασμό του εμπόρου. Αυτή η μέθοδος πληρωμής υποστηρίζεται σημαντικά από τις τράπεζες στα πλαίσια των εφαρμογών ηλεκτρονικής τραπεζικής που προσφέρουν στους πελάτες τους. Ειδικά για συναλλαγές στο Διαδίκτυο οι πελάτες μπορούν να επιλέξουν την μεταφορά ποσών 13 Δουκίδης Ι.Γ, & Θεμιστοκλέους Γ.Μ., & Δράκος Σ.Β., & Παπαζαφειροπούλου Γ. Ν., 1998, «Ηλεκτρονικό Εμπόριο», Εκδόσεις Νέων Τεχνολογιών 17

18 επί πιστώσει ως την επιθυμητή μέθοδο πληρωμής και απλά να αποδεχτούν το λογαριασμό που θα εμφανιστεί στην οθόνη τους. Πάγιες εντολές. Πρόκειται για εγκεκριμένα χρεωστικά ποσά από τον τραπεζικό λογαριασμό του πελάτη που εκχωρούνται στον δικαιούχο. Οι πάγιες εντολές χρησιμοποιούνται συνήθως για επαναλαμβανόμενες πληρωμές όπως αυτές για λογαριασμούς ΔΕΚΟ ή για εφάπαξ πληρωμές όταν δεν υπάρχει άμεση επαφή μεταξύ έμπορου και αγοραστή. Οι πάγιες εντολές χρησιμοποιούνται και για πληρωμές στο Διαδίκτυο. Στην περίπτωση αυτή όλη η ανωτέρω διαδικασία γίνεται ηλεκτρονικά και ομοιάζει αρκετά στις πληρωμές στο Διαδίκτυο με τη χρήση πιστωτικής κάρτας. Η βασική διάφορα έγκειται στο γεγονός ότι ο οφειλέτης αποστέλλει το νούμερο του τραπεζικού λογαριασμού και όχι αυτό της πιστωτικής κάρτας. Χρεωστικές κάρτες. Το εν λόγω σύστημα ηλεκτρονικών πληρωμών αποτελεί μια παραλλαγή των πάγιων εντολών όπου οι απαιτούμενες για τη συναλλαγή πληροφορίες περιέχονται σε ειδική κάρτα με μαγνητική ταινία ή μικροεπεξεργαστή. Η διαδικασία πληρωμής είναι ακριβώς η ίδια με αυτή των πάγιων εντολών με τη διαφορά ότι οι απαιτούμενες πληροφορίες είναι αποθηκευμένες στη κάρτα με αποτέλεσμα η συναλλαγή να είναι ασφαλέστερη. Ο κάτοχος της κάρτας πρέπει να διαθέτει ειδικό μηχάνημα υποδοχής της κάρτας συνδεδεμένο με τον υπολογιστή του που σημαίνει βέβαια ότι απαιτείται επιπλέον εξοπλισμός για τη χρήση της. Εντούτοις το ειδικό αυτό μηχάνημα συχνά εκχωρείται στον πελάτη από την ίδια τη τράπεζα. Ηλεκτρονικές επιταγές. Οι ηλεκτρονικές επιταγές είναι η φυσιολογική συνεχεία των παραδοσιακών επιταγών. Μια επιταγή είναι η γραπτή εντολή από τον εκδότη προς τον αποδέκτη που είναι συνήθως τράπεζα με την οποία ο εκδότης απαιτεί από τον αποδέκτη την καταβολή ενός συγκεκριμένου ποσού είτε στον εκδότη είτε σε τρίτο πρόσωπο που ορίζεται από αυτόν. Οι 18

19 ηλεκτρονικές επιταγές ακολουθούν κατά βάση τον ίδιο κανόνα με τη διαφορά ότι η επιταγή είναι σε ηλεκτρονική μορφή Καινοτόμα συστήματα ηλεκτρονικών πληρωμών Στην κατηγορία αυτή υπάρχουν συστήματα πληρωμών τα οποία κάνουν χρήση καινοτομικών τεχνολογιών που μέχρι πρόσφατα δεν ήταν διαθέσιμες για την διεξαγωγή πληρωμών : Σχήματα ηλεκτρονικού χρήματος. Ως ηλεκτρονικό χρήμα, η Ευρωπαϊκή Κεντρική Τράπεζα ορίζει την απ οθήκευση χρηματικής αξίας σε ψηφιακή μορφή μέσω μιας συσκευής που μπορεί να χρησιμοποιηθεί ευρέως για την πραγματοποίηση πληρωμών σε δίκτυα χωρίς τη χρήση τραπεζικών λογαριασμών. Τα συστήματα ηλεκτρονικού χρήματος χωρίζονται σε κάρτες αποθηκευμένης αξίας και σε ειδικό λογισμικό. Πληρωμές μεταξύ ομοτίμων. Η μεγάλη επιτυχία των ηλεκτρονικών δημοπρασιών οδήγησε στη δημιουργία συστημάτων πληρωμών προσαρμοσμένων στις ανάγκες των συμμετεχόντων. Ειδικότερα, αναπτύχθηκαν συστήματα που στόχο είχαν να παρέχουν τη δυνατότητα σε χρήστες του Διαδικτύου να πραγματοποιούν απευθείας συναλλαγές χωρίς τη μεσολάβηση κάποιου χρηματοπιστωτικού οργανισμού. Τα συστήματα πληρωμών μεταξύ ομοτίμων λειτουργούν κατά βάση όπως οι τράπεζες καθώς οι πελάτες ανοίγουν λογαριασμούς σε παροχείς υπηρεσιών πληρωμών όπου καταθέτουν χρηματικά ποσά. Εδώ χρησιμοποιείται το προκειμένου να συνεννοηθούν τα μέλη για τη συναλλαγή. 14 Ε-business forum, 2004, «ηλεκτρονικές πληρωμές προβλήματα και προοπτικές» στο www. e-business forum. gr 19

20 Προπληρωμένες κάρτες. Πρόκειται για κάρτες που είναι δυνατόν να αγοραστούν από περίπτερα ή καταστήματα και περιέχο υν μονάδες ανάλογα με τη τιμή αγοράς τους. Οι λογαριασμοί με τα προπληρωμένα ποσά είναι αποθηκευμένοι σε έναν ειδικό διακομιστή και έτσι δεν απαιτείται αποθήκευση του ποσού στον υπολογιστή του χρήστη ή σε έξυπνη κάρτα.. Οι προπληρωμένες κάρτες χρησιμοποιούνται συνήθως για τη διεκπεραίωση συναλλαγών μικρής αξίας στο Διαδίκτυο. Επιπλέον έχουν το πλεονέκτημα ότι προστατεύουν την ανωνυμία του κατόχου καθώς δεν απαιτείται προεγγραφή σε κάποιο τρίτο μέρος ή χρήση τραπεζικού λογαριασμού Η πιστωτική κάρτα Σε μία παραδοσιακή συναλλαγή με πιστωτική κάρτα, ο προμηθευτής καταγράφει τα στοιχεία της πιστωτικής κάρτας του πελάτη δημιουργώντας ένα έγγραφο συναλλαγής. Το παραπάνω έγγραφο υπογράφεται από τον αγοραστή και προωθείται στη συνέχεια στην τράπεζα για την εκτέλεση του. Στο τέλος η τράπεζα χρεοπιστώνει τους αντίστοιχους λογαριασμούς ενημερώνοντας τα εμπλεκόμενα μέρη για συναλλαγή που έγινε. Σε ένα μηχανισμό ηλεκτρονικής πληρωμής με χρήση πιστωτικής κάρτας ακολουθείται περίπου το ίδιο σενάριο που αναφέραμε στη προηγούμενη παράγραφο. Επιπλέον το σενάριο αυτό, εμπλουτίζεται με μηχανισμούς ασφαλείας (π.χ. έλεγχος ταυτότητας πελάτη εμπόρου). Το γεγονός αυτό έχει οδηγήσει στην ύπαρξη μιας σειράς συστημάτων ηλεκτρονικών πληρωμών με πιστωτικές κάρτες. 15 Πρασοπούλου Ε., 2004, «Ηλεκτρονικές πληρωμές, προβλήματα και προοπτικές», e-business forum 20

21 Δύο από τα χαρακτηριστικά που προσδιορίζουν και διαφοροποιούν τα συστήματα αυτά, είναι το επίπεδο της ασφάλειας των συναλλαγών, και το λογισμικό που απαιτείται από όλα τα εμπλεκόμενα μέρη (αγοραστής, προμηθευτής, τράπεζα). Κατά τη διάρκεια μιας online συναλλαγής, τ α στοιχεία της πιστωτικής κάρτας ενός αγοραστή μπορούν να μεταφερθούν με δύο τρόπους. Ο πρώτος τρόπος θεωρείται μη ασφαλής και υποστηρίζει την αποστολή των στοιχείων της ηλεκτρονικής πληρωμής από τον πελάτη στον έμπορο ή την τράπεζα σε μη κρυπτογραφημένη μ ορφή. Η μέθοδος αυτή κρίνεται ως μη ασφαλής γιατί κατά τη μεταβίβαση των στοιχείων μπορεί να παρεισφρήσει κάποιος «εισβολέας» και να τροποποιήσει τα στοιχεία της συναλλαγής ή ακόμη και να τα υποκλέψει. Ο δεύτερος τρόπος, θεωρείται περισσότερο ασφαλής και προβλέπει τη κρυπτογράφηση όλων των πληροφοριών που σχετίζονται με τη πληρωμή πριν την αποστολή τους στον έμπορο ή την τράπεζα μέσω του Internet. Για την αποφυγή της παρεμβολής κάποιου τρίτου κατά τη διεξαγωγή των συναλλαγών μεταξύ του πελάτη και του εμπόρου, μια καλή επιλογή αποτελεί εκείνος ο συνδυασμός web browser και web server που θα υποστηρίζει το πρωτόκολλο Secure Sockets Layer (SSL). H χρησιμοποίηση web servers και web browsers που υποστηρίζουν το πρωτόκολλο SSL, εξασφαλίζει την προστασία των δεδομένων από κάποιο τρίτο 16. Δεν εγγυάται όμως ότι τα δεδομένα αυτά δεν θα χρησιμοποιηθούν σκόπιμα από τον έμπορο. Για την αποφυγή εξαπάτησης του πελάτη θα 16 Δουκίδης Ι.Γ, & Θεμιστοκλέους Γ.Μ., & Δράκος Σ.Β., & Παπαζαφειροπούλου Γ. Ν., 1998, «Ηλεκτρονικό Εμπόριο», Εκδόσεις Νέων Τεχνολογιών 21

22 μπορούσε να χρησιμοποιηθεί ένας ανεξάρτητος φορέας διασφάλισης των συναλλαγών γνωστός ως Έμπιστη Τρίτη Οντότητα (ΕΤΟ). Μία ΕΤΟ μεσολαβεί ανεξάρτητα στην όλη διαδικασία αποκρυπτογραφώντας τα στοιχεία της πιστωτικής κάρτας επικυρώνοντας τη συναλλαγή. Σε αρκετές περιπτώσεις, εταιρείες που παράγουν συστήματα ηλεκτρονικών πληρωμών όπως η Cybercash, η Verifone ή η First Vitrual, χρησιμοποιούν μηχανισμούς με τους οποίους παρέχουν υπηρεσίες ΕΤΟ. Η Cybercash και η Verifone χρησιμοποιούν το μηχανισμό των «wallet». Ο μηχανισμός αυτός μεταφέρει τον κρυπτογραφημένο αριθμό της πιστωτικής κάρτας από τον έμπορο στο δικό τους επεξεργαστή για τον έλεγχο αυθεντικότητας και την έγκριση της συναλλαγής. Η εταιρεία First Virtual εκδίδει κάποιο VirtualPIN στον πελάτη που το χρησιμοποιεί αντί του αριθμού της πιστωτικής κάρτας. Αφού λάβει τις πληροφορίες των πωλήσεων από τον έμπορο, η First Virtual μετατρέπει το VirtualPIN στον αριθμό λογαριασμού της πιστωτικής κάρτας, προκειμένου να διεκπεραιωθεί η πληρωμή. Σε αυτή την περίπτωση, η ηλεκτρονική ολοκλήρωση των συναλλαγών παρουσιάζει το εξής πλεονέκτημα έναντι του παραδοσιακού τρόπο υ πληρωμής με πιστωτική κάρτα: κρυπτογραφώντας τα στοιχεία της πιστωτικής κάρτας και με τη μεσολάβηση της Τρίτης Έμπιστης Οντότητας, όπως η Cybercash ή η First Virtual, η επεξεργασία των στοιχείων αυτών δεν γίνεται από τον έμπορο, οπότε και εξαλείφεται ο κίνδυνος απάτης από την πλευρά του τελευταίου. Στο σημείο αυτό, θα πρέπει να σημειωθεί ότι παρά την πρόοδο που υπάρχει στα συστήματα ηλεκτρονικών πληρωμών με χρήση πιστωτικών καρτών, εξακολουθούν να υπάρχουν ακόμη ορισμένα προβλήματα, γεγονός που αποτελεί και το σημαντικότερο πρόβλημα που υφίσταται ακόμη η τυποποίηση. 22

23 Θα πρέπει να υιοθετηθεί μια κοινά αποδεκτή μέθοδος (ή πρότυπο) διεκπεραίωσης των ηλεκτρονικών συναλλαγών στο Internet, που θα επιτρέπει την επικοινωνία μεταξύ των διαφορετικών τύπων λογισμικ ού των συναλλασσόμενων μερών Η ηλεκτρονική τραπεζική στην Ελλάδα Σήμερα στην Ελλάδα σχεδόν όλες οι τράπεζες προσφέρουν προϊόντα και υπηρεσίες ηλεκτρονικής τραπεζικής ενώ την ίδια στιγμή πολλά ηλεκτρονικά καταστήματα προσφέρουν τα προϊόντα τους μέσω του διαδίκτυου (e-commerce). Στη χώρα μας ενώ το 1999 είχε ποσοστά διείσδυσης ηλεκτρονικών υπολογιστών και internet 11% και 6% αντίστοιχα, οι αντίστοιχοι μεσοί όροι στις χώρες της ευρωπαϊκής ένωσης ήταν 34% και 20%. Τα ποσοστά αυτά αυξήθηκαν με σταθερό ρυθμό μέχρι το 2001 ενώ έτος 2004 τα ποσοστά αυτά αυξήθηκαν κατά πολύ αφού η διείσδυση του internet στην ευρωπαϊκή ένωση αγγίζει το 66%. Στην Ελλάδα τον Μάρτιο του 2004 τα ποσοστά χρήσης internet έφτασαν το 28% 18. Η άνθηση αυτή δημιουργώντας το αίσθημα της διευκόλυνσης οδήγησε πολλούς χρήστες στους κόλπους της ηλεκτρονικής τραπεζικής με αποτέλεσμα χρόνο με τον χρόνο να αυξάνεται ο αριθμός των χρηστών ηλεκτρονικής τραπεζικής. Δηλαδή ενώ το 2000 μιλούσαμε για χρήστες το έτος 2002 η ηλεκτρονική τραπεζική στην Ελλάδα συγκέντρωσε χρήστες. 17 Δουκίδης Ι.Γ, & Θεμιστοκλέους Γ.Μ., & Δράκος Σ.Β., & Παπαζαφειροπούλου Γ. Ν., 1998, «Ηλεκτρονικό Εμπόριο», Εκδόσεις Νέων Τεχνολογιών 18 Αγγελής, Β., Γ., 2005, «Η Βίβλος του e-banking», Εκδόσεις Νέων Τεχνολογιών. 23

24 Για το έτος 2005, σύμφωνα με ανακοινώσεις της Ελληνικής Ένωσης Τραπεζών ο αριθμός των χρηστών ξεπέρασε τους Το μεγαλύτερο ποσοστό πραγματοποιεί τις ηλεκτρονικές του συναλλαγές μέσω internet banking ενώ λίγοι είναι αυτοί που επιλέγουν το εναλλακτικό μοντέλο του mobile ή phone banking. Όταν άρχισε η ηλεκτρονική τραπεζική να εμφανίζεται στους κόλπους της Ελληνικής οικονομίας οι ήδη χρήστες internet κράτησαν μια επιφυλακτική στάση μπροστά σε αυτή την τεράστια καινοτομία που επρόκειτο αργότερα να εξελιχθεί με ραγδαίους ρυθμούς. Τον τοίχο αυτό όμως έρχεται να σπάσει ένα κύμα ανθρώπων που έδειξαν εμπιστοσύνη σε αυτό το νέο είδος οικονομικής συναλλαγής. Το συγκεκριμένο κύμα αποτελούνταν από ανθρώπους υψηλού μορφωτικού επιπέδου και συνήθως ηλικίας χρονών 19. Αργότερα έρχονται να προστεθούν Έλληνες του εξωτερικού συνήθως της Αμερικής που ζώντας χρόνια εκεί ανέπτυξαν επιχειρήσεις και απέκτησαν οικονομική ευρωστία. Επιστρέφοντας έφεραν μαζί τους την συνήθεια της ηλεκτρονικής τραπεζικής (που προϋπήρχε στις μεγάλες χώρες που ζούσαν) και εντάχθηκαν αμέσως στους κόλπους της ελληνικής ηλεκτρονικής τραπεζικής. Σταδιακά εντάσσονται επιχειρηματίες που επιθυμούν να εγγράψουν τις εταιρείες τους στην ηλεκτρονική τραπεζική κάποιας τράπεζας. Ακολουθούν ελεύθεροι επαγγελματίες και ιδιώτες που ο γρήγορος ρυθμός ζωής δεν τους αφήνει περιθώρια για συναλλαγές από το κατάστημα 20. Έτσι σήμερα μετά από οχτώ χρόνια λειτουργίας της ηλεκτρονικής τραπεζικής είναι πολύ μεγάλος ο αριθμός χρηστών στη χώρα μας. 19 Αγγελής, Β., Γ., 2005, «Η Βίβλος του e-banking», Εκδόσεις Νέων Τεχνολογιών. 20 Αγγελής, Β., Γ., 2005, «Η Βίβλος του e-banking», Εκδόσεις Νέων Τεχνολογιών. 24

25 Πραγματοποιούν εμβάσματα, πληρωμές, χρηματιστηριακές συναλλαγές, εμπορικές συναλλαγές (e-commerce). Πλέον η Ελλάδα ακολουθώντας πιστά τα ευρωπαϊκά πρότυπα ηλεκτρονικής τραπεζικής έχει μια γερή δομή και ανταγωνιστικές λειτουργίες που την καθιστά μια από τις γρηγορότερα ανερχόμενες ευρωπαϊκές χώρες στον κόσμο του e - banking Πρόγραμμα Δικτυωθείτε στο Το e-banking σε σχέση με το είδος χρήστη 25

26 Κεφάλαιο 3 Ζητήματα ασφαλείας Προκειμένου να γίνει ευκολότερα αντιληπτός ο ρόλος των συστημάτων και των μεθόδων ασφάλειας των συναλλαγών ηλεκτρονικ ού χρήματος, πρέπει να γίνει αρχικά μία αναφορά στο γενικό μοντέλο των συστημάτων ηλεκτρονικού χρήματος, όπως το έχει ορίσει η Ευρωπαϊκή Κεντρική Τράπεζα για τις ευρωπαϊκές χώρες και ανάμεσά τους και την Ελλάδα. Το μοντέλο αυτό είναι μία απλουστευμένη προσέγγιση όλων των πραγματικών συστημάτων που υπάρχουν αυτή τη στιγμή στην Ευρώπη, ώστε να βρίσκει εφαρμογή σε όσο το δυνατόν περισσότερες περιπτώσεις και να επιδέχεται αλλαγών και βελτιώσεων Πρότυπη δομή συστημάτων ηλεκτρονικού χρήματος Πιο συγκεκριμένα η πρότυπη δομή ενός τέτοιου συστήματος αποτελείται από έναν αριθμό υποσυστημάτων, τα οποία μπορούν να επικοινωνούν μεταξύ τους και ελέγχονται από ένα διαχειριστή του συστήματος. Με βάση το μοντέλο αυτό προκύπτουν και οι βασικές έννοιες, οι οποίες είναι η Ηλεκτρονική Αξία (EV), δηλαδή το ηλεκτρονικό χρήμα, η διακίνηση της Ηλεκτρονικής Αξίας και η εποπτεία του συστήματος. Δευτερεύουσες έννοιες είναι οι συναλλαγές, η αποζημίωση, ο κύκλος ζωής της Ηλεκτρονικής Αξίας και οι Ηθοποιοί (actors), δηλαδή οι χαρακτήρες που μπορούν να δραστηριοποιηθούν μέσα στο σύστημα, 22 European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 26

27 εκμεταλλευόμενοι τις δυνατότητές του (π.χ. ο διαχειριστής, οι καταναλωτές, ο εκδότης ηλεκτρονικού χρήματος κ.ά.) 23. Ο ορισμός του υποσυστήματος είναι αρκετά ασαφής, ώστε να μπορεί να περιλαμβάνει όλες τις ομοειδείς οντότητες ανάλογων συστημάτων. Οι μοναδικοί παράμετροι ενός υποσυστήματος είναι η δυνατότητα διαχείρισης (αποστολή ή λήψη) ηλεκτρονικού χρήματος, η παραγωγή αναφορών και η δυνατότητα παροχής των αναφορών αυτών στο διαχειριστή του συστήματος. Η ροή των εργασιών ξεκινά με τη δημιουργία μιας μονάδας ηλεκτρονικού χρήματος, η οποία αφού ακολουθήσει μία ορισμένη διαδρομή μέσα στο σύστημα, αποσβένεται στον παραλήπτη. Προκειμένου να εκτελεστεί με απόλυτη ασφάλεια η ροή αυτή, είναι απαραίτητα και κάποια στοιχεία του συστήματος, τα οποία δεν αναφέρθηκαν παραπάνω και ανήκουν στο περιβάλλον του πυρήνα του συστήματος. Τέτοια στοιχεία είναι μια σειρά από αξιώματα, τα οποία πρέπει να ισχύουν ώστε να θεωρηθεί μία συναλλαγή ασφαλής και μία λίστα με τους πιθανούς κινδύνους για τα διάφορα Περιουσιακά Στοιχεία του συστήματος. Με τον όρο αυτό περιγράφονται το υλικό (hardware) και το λογισμικό (software) του συστήματος, τα δεδομένα που διακινούνται και χρησιμοποιούνται από τους χρήστες του συστήματος (προσωπικά δεδομένα, ποσά, αριθμοί λογαριασμών, ηλεκτρονικό χρήμα) και δεδομένα που χρησιμοποιεί το ίδιο το σύστημα, όπως οι αναφορές, τα 23 European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 27

28 κλειδιά κρυπτογράφησης, οι κωδικοί πρόσβασης και τα δεδομένα ελέγχου γνησιότητας των διακινούμενων πληροφοριών Στόχοι ασφάλειας συστημάτων ηλεκτρονικού χρήματος Το σύνολο των μηχανισμών ασφαλείας ενός συστήματος ηλεκτρονικού χρήματος θεωρείται ότι πετυχαίνουν το σκοπό τους, όταν επιτυγχάνονται μία σειρά από αντικειμενικούς στόχους. Οι κυριότεροι είναι: Η ακεραιότητα των Περιουσιακών Στοιχείων. Το πιο σημαντικό από αυτά είναι το ηλεκτρονικό χρήμα, το οποίο δεν πρέπει να αλλοιώνεται ούτε ως προς την ποσότητα, ούτε ως προς κάποιο άλλο χαρακτηριστικό του, σε όποιο υποσύστημα και αν αποθηκευτεί. Η εμπιστευτικότητα των δεδομένων. Τα δεδομένα όλων των κατηγοριών που κυκλοφορούν μέσα στο Σύστημα πρέπει να γνωστοποιούνται μόνο στους εξουσιοδοτημένους χρήστες. Οι καταναλωτές δεν μπορούν να γνωρίζουν τους κωδικούς πρόσβασης του διαχειριστή και ο διαχειριστής δεν πρέπει να γνωρίζει τα υπόλοιπα των λογαριασμών των καταναλωτών, εκτός από τις περιπτώσεις που αυτό προβλέπεται. Η πιστοποίηση του ηλεκτρονικού χρήματος που μετακινείται μεταξύ των υποσυστημάτων και η πιστοποίηση των υποσυστημάτων που ανταλλάσσουν δεδομένα μεταξύ τους. Ο έλεγχος πρόσβασης στο Σύστημα. Κάθε χρήστης, καταναλωτής ή διαχειριστής, πρέπει να διαθέτει ένα σύνολο μοναδικών κωδικών, με σκοπό τον περιορισμό της πρόσβασης στα αντίστοιχα δεδομένα που τον αφορούν. Η δέσμευση και η επιβεβαίωση της αξιοπιστίας των εκτελούμενων συναλλαγών. Κάθε συναλλαγή αφορά 24 European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 28

29 συγκεκριμένο ποσό ηλεκτρονικού χρήματος και συγκεκριμένα υποσυστήματα. Αν κάποιο από αυτά δεν μπορεί να καθοριστεί σαφώς, η συναλλαγή πρέπει να καθίσταται αδύνατη 25. Η πραγματοποίηση ολοκληρωμένων συναλλαγών. Εφόσον προκύψει κάποιο πρόβλημα πριν την τελική επιβεβαίωση, η συναλλαγή πρέπει να ακυρώνεται εξ ολοκλήρου. Απαγορεύεται η τμηματική πραγματοποίηση μιας συναλλαγής. Η ορθή σειρά των συναλλαγών και των διαδικασιών που προβλέπονται για κάθε συναλλαγή. Η εκτέλεση μίας ή περισσότερων πράξεων σε λανθασμένη σειρά απαγορεύεται, καθώς μπορεί να προκαλέσει ανεπιθύμητες επιπλοκές ή απρόβλεπτες συνέπειες. Η αποφυγή απώλειας μονάδων ηλεκτρονικού χρήματος. Οι ποσότητες χρήματος που εισέρχονται στο σύστημα πρέπει να εκτελούν έναν πλήρη κύκλο ζωής. Με άλλα λόγια δεν πρέπει να προκύπτουν διαφορές στις συναλλαγές μέσω ενός ασφαλούς Συστήματος. Η τήρηση των ορίων των χρηματικών ποσών. Σε κάθε συναλλαγή υπάρχει ένα ανώτατο ποσό χρημάτων που μπορούν να διακινηθούν, είτε αυτό καθορίζεται από τους συναλλασσόμενους είτε έχει προκαθοριστεί κατά την κατασκευή του Συστήματος. Η ανιχνευσιμότητα των συναλλαγών. Αυτός ο στόχος αφορά το διαχειριστή, καθώς πρέπει να είναι σε θέση να παρακολουθήσει όλα τα βήματα κατά την εκτέλεση μιας συναλλαγής, αλλά και τις νόμιμες τροποποιήσεις του Συστήματος, οι οποίες είναι απαραίτητες για την ορθή και αποδοτική λειτουργία του. Ο εντοπισμός κάθε μη φυσιολογικής ενέργειας στο Σύστημα, όπως η παράνομη πρόσβαση ή η προσπάθεια αλλοίωσης των δεδομένων. 25 European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 29

30 Η αντίδραση του Συστήματος σε κάθε απρόοπτη αλλαγή της κατάστασής του, όπως η απότομη πτώση τάσης ή η διακοπή οποιασδήποτε προσπάθειας για παράνομη πρόσβαση. Η χρήση εξελιγμένων πρωτοκόλλων κρυπτογράφησης για προστασία των πληροφοριών 26. Τα ασφαλή μέσα μεταφοράς δεδομένων και οι ασφαλείς χώροι εγκατάστασης των μηχανημάτων, ώστε να μην είναι εύκολη η φυσική πρόσβαση σε σημαντικά μέρη του Συστήματος. Η ενημέρωση του λογισμικού ασφαλείας με τις τελευταίες εκδόσεις για την καταπολέμηση κάθε νέας απειλής. Η διαθεσιμότητα του Συστήματος, δηλαδή η δυνατότητα χρήσης του ακόμη και σε περιόδους συντήρησης ή βλάβης. Προκειμένου να επιτευχθούν οι προαναφερθείσες αλλά και άλλες αρκετά σημαντικές παράμετροι ασφαλείας, είναι απαραίτητη μία σειρά από τεχνικές και εργαλεία που βρίσκουν εφαρμογή και σε άλλα ηλεκτρονικά συστήματα. Κάποιες τεχνικές αφορούν τη φυσική διάρθρωση και κατανομή των συστημάτων στα κτίρια που τα φιλοξενούν, ενώ άλλες δικλείδες ασφαλείας επιτυγχάνονται με χρήση ειδικών συσκευών υλικού (hardware), όπως συσκευές τείχους προστασίας (firewall), ή με χρήση προγραμμάτων λογισμικού (software). Αυτή η τελευταία κατηγορία είναι η πιο σημαντική, καθώς χρησιμοποιείται εκτενώς σε παρόμοια συστήματα διαχείρισης χρήματος ή ηλεκτρονικών συναλλαγών και αποτελεί την πρώτη γραμμή άμυνας απέναντι σε οποιονδήποτε επίδοξο εισβολέα. Η αρχή λειτουργίας του τείχους προστασίας είτε με μορφή λογισμικού είτε με μορφή υλικού 26 European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 30

31 έγκειται στον έγκαιρο εντοπισμό των επίδοξων εισβολέων, σαν μία πρώτη γραμμή άμυνας 27. Εφόσον δεν παρέχεται πρόσβαση σε μη εξουσιοδοτημένους χρήστες, αυξάνονται οι πιθανότητες ασφαλούς λειτουργίας των ηλεκτρονικών συστημάτων. Σε συνδυασμό με την κρυπτογράφηση των μεταφερόμενων δεδομένων με χρήση εξελιγμένων αλγορίθμων καθίσταται πρακτικά αδύνατη η παραβίασή τους. Τα σημαντικότερα εργαλεία λογισμικού είναι η κρυπτογράφηση, οι ηλεκτρονικές υπογραφές, και μία σειρά από πρωτόκολλα επικοινωνίας υπολογιστών, παρόμοια με αυτά που χρησιμοποιούνται σε ευρύτερα συστήματα ανταλλαγής δεδομένων και πληροφοριών Κρυπτογράφηση Στόχος της κρυπτογράφησης είναι να εμποδίσει την ανάκτηση του αρχικού μηνύματος από την κρυπτογραφημένη του μορφή. Με την κρυπτογράφηση οποιαδήποτε μορφή πληροφορίας (κείμενο, video, γραφικά) μετατρέπεται σε μία μορφή η οποία είναι αναγνώσιμη μόνο με τη χρήση του κλειδιού αποκρυπτογράφησης. Υπάρχουν δύο βασικά είδη τεχνικών κρυπτογράφησης που χρησιμοποιούνται σήμερα. Το ένα ονομάζεται κρυπτογράφηση με «μυστικό ή απλό» κλειδί (secret ή single key) και το άλλο ονομάζεται κρυπτογράφηση με «δημόσιο» κλειδί (public key) European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 28 European Central Bank, 2003, Electronic Money System Security Objectives, European Central Bank 29 Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 31

32 Κρυπτογράφηση με μυστικό ή απλό κλειδί Αυτή η μορφή κρυπτογράφησης ονομάζεται και «συμμετρική», γιατί σχετίζεται με τη χρήση ενός μόνο κλειδιού το οποίο χρησιμοποιούν τόσο ο αποστολέας για την κρυπτογράφηση του μηνύματος του όσο και ο παραλήπτης του κρυπτογραφημένου μηνύματος για την αποκρυπτογράφηση του. Το κλειδί αυτό μετατρέπει το μήνυμα του αποστολέα σε μία ακατάληπτη κωδικοποιημένη μη-αναγνωρίσιμη μορφή (ciphertext) η οποία αποστέλλεται μέσω του Internet στον παραλήπτη της. Ο παραλήπτης χρησιμοποιεί το ίδιο κλειδί που χρησιμοποίησε και ο αποστολέας, προκειμένου να αποκρυπτογραφήσει το κωδικοποιημένο μήνυμα. Για τη δημιουργία τέτοιων κλειδιών ακολουθείται το πρότυπο DES (Data Encryption Standard). Το μειονέκτημα αυτής της μεθόδου είναι η διανομή του μυστικού κλειδιού στα δύο μέλη της συναλλαγής, η οποία οφείλει να είναι 100% ασφαλής. Μάλιστα η διαδικασία αυτή μπορεί να αποβεί ιδιαίτερα δύσκολη όταν πρόκειται για μεγάλα δίκτυα επιχειρήσεων οι οποίες επικοινωνούν με χιλιάδες online πελάτες τους. Για αυτό το λόγο η παραπάνω τεχνική δεν πρόκειται να υιοθετηθεί ευρέως για την προστασία συναλλαγών HE. Το προτεινόμενο μήκος ενός κλειδιού σε αυτή τη μέθοδο προκειμένου να παρέχεται υψηλός βαθμός ασφάλειας είναι τουλάχιστον 75 bits, ενώ στα νέα συστήματα που αναπτύσσονται θα πρέπει να είναι τουλάχιστον 90 bits Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 32

33 Κρυπτογράφηση με δημόσιο κλειδί Αυτή η μέθοδος ονομάζεται και «ασύμμετρη» επειδή χρησιμοποιεί δύο διαφορετικά κλειδιά για τη κρυπτογράφηση και αποκρυπτογράφηση των μηνυμάτων ή της πληροφορίας. Τα κλειδιά αυτά συνδέονται μεταξύ τους μαθηματικά με τέτοιο τρόπο ώστε δεδομένα τα οποία έχουν κρυπτογραφηθεί με το ένα κλειδί να μπορούν να αποκρυπτογραφηθούν μόνο με το άλλο. Το ένα από τα δύο κλειδιά είναι «δημόσιο» και μοιράζεται σε όλους τους εταίρους και το άλλο είναι «ιδιωτικό» και είναι γνωστό μόνο στον ιδιοκτήτη του. Ο αλγόριθμος που χρησιμοποιείται για αυτή την τεχνική είναι ο RSA ο οποίος πήρε την ονομασία του από τους δημιουργούς του Rivest, Shamir και Adleman. Αν για παράδειγμα ο χρήστης Α θέλει να στείλει στον χρήστη Β ένα μήνυμα, τότε ο Α χρησιμοποιεί το «δημόσιο» κλειδί του Β για την κρυπτογράφηση του μηνύματος. Στη συνέχεια ο Β αφού παραλάβει το κρυπτογραφημένο μήνυμα χρησιμοποιεί το μυστικό των ενδιαφερόμενων σε ένα είδος καταλόγου. Η μέθοδος αυτή προτιμάται για λιγότερο απαιτητικές, είναι πιο αργή από αυτήν του μυστικού κλειδιού, και απαιτεί την ύπαρξη τρίτων αξιόπιστων φορέων καθώς και ψηφιακών πιστοποιητικών Ηλεκτρονική υπογραφή Ως ηλεκτρονική υπογραφή νοούνται τα δεδομένα σε ηλεκτρονική μορφή, τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή σχετίζονται λογικά με αυτά και χρησιμεύουν ως μέθοδος απόδειξης 31 Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 33

34 γνησιότητας. Τον Ιούνιο του 2001, υπογράφηκε και στη χώρα μας το προεδρικό διάταγμα που αφορά τις ηλεκτρονικές υπογραφές, για την προσαρμογή της ελληνικής νομοθεσίας στην κοινοτική. Σύμφωνα με το υπ'αριθμ. 150 προεδρικό διάταγμα, η Ελλάδα προσαρμόζεται στην οδηγία 99/93/ΕΚ σχετικά με το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές. Το άρθρο 3 του Π.Δ. αναγνωρίζει ότι «η προηγμένη ηλεκτρονική υπογραφή, που βασίζεται σε αναγνωρισμένο πιστοποιητικό και δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής, επέχει θέση ιδιόχειρης υπογραφής, τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο» 32. Η συμμόρφωση των ασφαλών διατάξεων δημιουργίας της ηλεκτρονικής υπογραφής διαπιστώνεται από την Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) ή από οριζόμενους από αυτή δημόσιους ή ιδιωτικούς φορείς. Προκειμένου να επιτευχθεί βελτιωμένο επίπεδο παροχής υπ ηρεσιών πιστοποίησης, παρέχεται από την ΕΕΤΤ - ύστερα από έγγραφη αίτηση του ενδιαφερομένου παρόχου υπηρεσιών πιστοποίησης εθελοντική διαπίστευση. Με τη διαπίστευση αυτή, παραχωρούνται δικαιώματα και επιβάλλονται υποχρεώσεις - συμπεριλαμβανομένων τελών στον πάροχο υπηρεσιών πιστοποίησης. Ο ίδιος ευθύνεται έναντι οποιουδήποτε φορέα ή φυσικού και νομικού προσώπου, για τη ζημιά που προκλήθηκε σε βάρος του, επειδή το πρόσωπο αυτό βασίστηκε στο πιστοποιητικό για 33 : 32 Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 33 Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 34

35 - Την ακρίβεια, κατά τη στιγμή της έκδοσης του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό, καθώς και την ύπαρξη όλων των στοιχείων που απαιτούνται για την έκδοση του. - Τη διαβεβαίωση ότι ο υπογράφων, η ταυτότητα του οποίου βεβαιώνεται στο αναγνωρισμένο πιστοποιητικό, κατείχε δεδομένα δημιουργίας υπογραφής που αντιστοιχούσαν στα αναφερόμενα ή καθοριζόμενα στο πιστοποιητικό δεδομένα επαλήθευσης της υπογραφής. - Τη διαβεβαίωση ότι αμφότερα τα δεδομένα δημιουργίας υπογραφής και επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθού ν συμπληρωματικά, εφόσον προέρχονται από πάροχο υπηρεσιών πιστοποίησης. Η ηλεκτρονική υπογραφή αποτελεί την «ψηφιακοποίηση» της κανονικής (παραδοσιακής) υπογραφής και την επικόλληση της σε ένα έγγραφο. Με αυτό τον τρόπο, δεν πιστοποιείται μόνο η ταυτότητα του χρήστη, αλλά και η εγκυρότητα του εγγράφου, καθώς η οποιαδήποτε εκ των υστέρων αλλοίωση του είναι δυνατόν να εντοπιστεί. Για τις ηλεκτρονικές επικοινωνίες, τις online τραπεζικές συναλλαγές και το εμπόριο απαιτούνται ηλεκτρονικές υπογραφές και συναφείς υπηρεσίες που παρέχουν τη δυνατότητα απόδειξης της γνησιότητας των δεδομένων. Η ύπαρξη αποκλινόντων κανόνων, όσον αφορά τη νομική αναγνώριση των ψηφιακών υπογραφών και τη διαπίστευση «παροχών υπηρεσιών πιστοποίησης» στα κράτη μέλη της Ε.Ε., ενδέχεται ν α αποτελέσει σημαντικό φραγμό για τη χρήση των ηλεκτρονικών επικοινωνιών και του ηλεκτρονικού εμπορίου, ενώ, από την άλλη πλευρά, ένα σαφές κοινοτικό πλαίσιο σχετικά με τις προϋποθέσεις που θα εφαρμόζονται 35

36 στις ηλεκτρονικές υπογραφές θα ενισχύσει την εμπιστοσύνη στις νέες τεχνολογίες και θα συμβάλει στη γενική αποδοχή τους 34. Η ηλεκτρονική υπογραφή λειτουργεί με την τεχνολογία του δημόσιου - ιδιωτικού κλειδιού. Οι τράπεζες και οι πελάτες τους κρυπτογραφούν και υπογράφουν ηλεκτρονικά κάποιας μορφής εμβάσματα. Η τράπεζα κρυπτογραφεί το έμβασμα με το ιδιωτικό κλειδί της και το αποστέλλει στους πελάτες της, που το αποκρυπτογραφούν με το δημόσιο κλειδί της τράπεζας (επιβεβαίωση ότι το έμβασμα ή η διαταγή πληρωμής προέρχεται από την τράπεζα). Οι πελάτες υπογράφουν τις καταθέσεις και αναλήψεις τους με το ιδιωτικό κλειδί τους και η τράπεζα τις επιβεβαιώνει χρησιμοποιώντας το δημόσιο κλειδί τους Η τεχνολογία SSL Η τεχνολογία Secure Sockets Layer (SSL) εξασφαλίζει τη δημιουργία ενός ασφαλούς διαύλου δικτυακής επικοινωνίας, μέσα από τον οποίο είναι δυνατό να μεταδίδεται πληροφορία από τους web servers και clients (HTTP), αλλά και με κάθε άλλο μέσο (π.χ. , news). To κανάλι αυτό εγγυάται πως τα δεδομένα θα μεταφερθούν ακέραια και χωρίς λάθη, καθώς και ότι το περιεχόμενο τους δεν πρόκειται να αλλάξει κατά τη διάρκεια της μεταφοράς, ενώ -ταυτόχρονα- πιστοποιεί τον web server. Η μεταφερόμενη πληροφορία κατ' αρχήν κρυπτογραφείται (συμμετρικά) και έπειτα μεταδίδεται (ενώ ταυτόχρονα συμπιέζεται) για να αποκρυπτογραφηθεί από τον web browser. 34 Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 35 Institute for Prospective Technological Studies, 2002, Securing Internet Payments, -The potential of Public Key Cryptography», Electronic Payment Systems Observatory, No 6 36

37 H κρυπτογράφηση πραγματοποιείται με βάση ένα μυστικό κλειδί, που έχει δημιουργηθεί για την περίσταση, το οποίο γνωρίζουν ο browser του χρήστη και ο server. Επίσης, εγγυάται ότι οι πληροφορίες στέλνονται στο σωστό άνθρωπο και όχι σε τρίτους 36. Πρέπει να τονιστεί πως όλη αυτή η διαδικασία παραμένει αδιαφανής για το χρήστη, ο οποίος δεν αντιλαμβάνεται τίποτα από όλα αυτά, παρά μόνο τα «σημάδια» στον browser του: «http» έχει μετατραπεί σε « και υπάρχει ένα σύμβολο κλει στής κλειδαριάς στο κάτω μέρος της οθόνης. Όταν σε μια σύνδεση χρησιμοποιείται η τεχνολογία SSL, οτιδήποτε μεταφέρεται ανάμεσα στο χρήστη και τον web server είναι κρυπτογραφημένο, όπως π.χ. το URL του κειμένου, τα περιεχόμενα του κειμένου που μεταδίδεται, τα περιεχόμενα που αποστέλλονται από το χρήστη μέσω φορμών (άρα και τα στοιχεία του πελάτη και ο αριθμό της πιστωτικής του κάρτας) κ.α. To SSL, τεχνολογία, που χρησιμοποιείται σήμερα από σχεδόν όλες τις τράπεζες, είναι αυτό που εγγυάται ότι οι πληροφορ ίες που εισάγουμε σε μια φόρμα εισαγωγής στοιχείων τραπεζικού λογαριασμού θα φτάσουν στον προορισμό τους αναλλοίωτες Committee on Payment and Settlement Systems & Group of Computer Experts of central banks of G-10 countries, 1996, Security of Electronic Money, Bank for International Settlements, Basle 37 Committee on Payment and Settlement Systems & Group of Computer Experts of central banks of G-10 countries, 1996, Security of Electronic Money, Bank for International Settlements, Basle 37