E-Ticaret işlemleri (online alış-veriş) fiziksel dünyadaki satış işlemlerinden daha yüksek hızda artıyor. E-Ticaret hacimlerindeki artış devam ederken, kart sahiplerinin ve üye işyerlerinin güvenlik çekinceleri nedeniyle pazar gerçek potansiyeline ulaşamıyor. Kart sahipleri online alış-verişin sunduğu kolaylığın yanında fiziksel ortamda elde ettikleri güvenliğe de sahip olmak istiyorlar. E-Ticaret işlemleri analiz edildiğinde en büyük engelin gerçek kartsahibi ile gerçek üye işyerinin doğrulanması ihtiyacı olduğu görülüyor.
İnternet üzerinden yapılan alışverişlerde dolandırıcılık sayısının artması ile birlikte Visa ve Mastercard 3D Secure isimli bir sistemi geliştirmiş ve uygulamaya sunmuştur. Bu sistem fiziki Pos’larda Chip pin olarak adlandırılan şifre sisteminin benzeridir. Visa ve MasterCard, dünyadaki bankalar ve perakendeciler ile işbirliği yaparak 3D Secure sistemini yaygınlaştırmışlardır. BKM tarafından 2006 yılında başlatılan çalışmalar sonucunda 2007 yılında 3D Güvenlik sistemi Türkiye’deki bankalarda uygulanmaya başlamıştır.
Kart sahibi kendi oluşturduğu şifresi veya cep telefonundaki mobil-imzasıyla işlemlerin kendisi tarafından yapıldığını doğrular. Şifre vasıtasıyla işlem anında kartın ve kart sahibinin aynı yerde olduğu belgelenir. Yöntemin amacı, kart sahibinin onayı alınarak,internet işlemlerinde sahtekarlığın önlenmesi,internet işlemlerinin güvenliğinin arttırılması,sanal mağazaların ve kart sahiplerinin riskinin ortadan kaldırılmasıdır.
Türkiye’de e-ticaret siteleri tarafından 3D Secure ile ödeme kart hamillerine seçenekli olarak sunuluyor ve eğer kart hamili isterse ödemesini 3D Secure olarak tamamlayabiliyor. Peki bu yapı karthamilini mi koruyor yoksa işyerini mi ? Açık ve net biçimde işyerini koruyor. Çünkü 3D Secure ile tamamlanan bir işlem için, işyeri sahtekarlık riskini ve fraud nedeniyle gelebilecek chargeback riskini azaltıyor.
Özetle; şöyle düşünün, kart sahibi olarak e-ticaret sitesine giriyorsunuz, ödeme sayfasına geldiğinizde işleminizi 3D Secure olarak tamamlamayı seçtiğinizde daha çok işlem yapıyorsunuz ve alışverişinizi daha uzun sürede tamamlıyorsunuz. Cep telefonunuz mutlaka yanınızda olmalı ve daha önce hiç kullanmadı iseniz size karmaşık gelebilecek yapıyı çözmeniz gerekli. Karthamili için herhangi bir avantajı yok sadece böylece işyeri kart sahibi doğrulamasını şifre ile yapmış oluyor ve sahtekarlık bildirimi, fraud nedeniyle chargeback riskinden kendini büyük ölçüde koruyor. Peki 3D Secure ile işlem tamamladığında kart sahibi hassas ödeme verileri daha mı güvenli ortamlarda saklanıp güvence altına alınmış oluyor ? Hayır, şu an ki yapıda 3D Secure veya 3D Secure olmayan bütün işlemlerde kart sahibi hassas ödeme verileri aynı şekilde korunuyor.
Asıl soru şu, Neden o zaman e-ticaret siteleri bu kadar kendileri açısından hem avantajlı hem de birçok operasyon maliyetini düşürücü 3D Secure uygulamasını zorunlu yapmıyor da seçeneği karthamiline bırakıyor ? Tabi ki trilyonlarca yatırım yapılan e-ticaret siteleri bunu düşündü hatta az da olsa 3D Secure uygulamasını sitelerinde zorunlu yapanlar da oldu. Fakat netice hüsran oldu, satışlar inanılmaz derecede düştü. Ve beklendiği kadar chargeback ve fraud sayıları düşmedi. Hatta yabancı banka kartlarına izin veren işyerleri için chargeback penceresi açılanlar bile oldu. Çünkü yurt dışı ticari kartlar ile yapılan internet işlemlerinde, işyeri 3D Secure uyumlu olsa dahi, işlem Yarım 3D Secure olarak tamamlandığı ve kart hamili itirazı olması halinde finansal sorumluluk üye işyerine ait olduğu için çok fazla chargeback işlemi ile karşılaşıldı. İşyerleri, bankaları tarafından bu konuda bilgilendirilmediği için hatta işlemler geçerken uyarılmadığı için çok büyük zararlara uğradılar. (Not : 2014 yılında Mastercard bu kuralı değiştirdi ve artık bu durumda finansal sorumluluk işyerine kalmıyor. Visa için ise sadece Amerika kıtasına ait ticari kartlar ile yapılan işlemlerin sorumluluğu üyeişyerine kalıyor. )
Genelde yurtdışında statik şifre ile 3D Secure doğrulaması sağlandığı için, bu statik şifrenin kopyalanması ve çalınması sonucunda işlem Tam 3D Secure tamamlandığı halde özünde fraud bir işlem olarak kabul ediliyor. Chargeback riski doğal olarak işyerine kalmıyor ancak kartsahibi banka fraud bildiriminde bulunduğu için işyerinin fraud sayısını etkiliyor. Bilindiği üzere fraud sayıları belli bir eşiği geçtiğinde BKM,Visa ve Mastercard tarafından işyerine yaptırım uygulanıyor. Bu da işyeri açısından hem maddi hem de itibar kaybına neden oluyor.
Ve ayrıca sahte çağrı merkezleri kurarak, kart sahiplerini telefonda dolandırarak 3D Secure şifrelerini elde eden sahtekarlar tarafından, e-ticaret sitelerinde 3D Secure Yöntemi ile işlemler yapılıyor. Bu şekilde dolandırılan kişiler bankalarına işlem 3D Secure tamamlandığı için fraud (işlem bana ait değil ) nedeniyle itiraz edemiyorlar, ürün tarafıma teslim olmadı nedeniyle harcama itirazında bulunuyorlar. Bu nedenle işlemler 3D Secure doğrulama ile yapılsa bile, işyerine chargeback gelmesini engellemiyor.
Yukarıda belirttiğim nedenlerden dolayı bu topraklarda şu an için 3D Secure zorunlu yapılamaz. Yapılırsa e-ticaret siteleri açısından hem ciro kaybı büyük olur hem de beklenildiği kadar fraud ve chargeback sayılarında düşüş olmaz.