Prošli tekst na temu kartičnog je proizveo za mene neočekivan broj komentara, što ljudi iz struke, što laika (u daljnjem tekstu „muggles“) koje tema zanima. Komentari su uglavnom bili pozitivni, čak je i bilo onih koji su pomagali da stilski i pravopisno tekst bude bolji (u daljnjem tekstu „grammar nazi“), osim jednog zlonamjernog kolege koji si je svojim duboko stručnim i krajnje točnim upadicama pokušao priskrbiti moj ručak. E pa dragi kolega, neće da može. Sve objede na svoj račun pojest ću sam.
Pisati ponovo o kartičnom poslovanju, dvije kolumne za redom, mi malo dođe kao film Hobbit. Šamaranje mrtvog magarca... "idu oni tako danima i tjednima a ne dešava se ništa, poljavljuju se neki likovi za koje nikad nitko u knjizi nije čuo, pa čak i par njih iz Disney svijeta... ". Ipak, čini mi se da sam ostao dužan odgovoriti na par pitanja i kao ključno, opisati proces jedne transakcije od početka do kraja. Kad to obavim, mislim da smo s tekstovima o plaćanjima stvarno završili za jedno dulje vrijeme...
Dakle, autorizacija, clearing i settlement...
Autorizacija je ono što se prvo dešava kad nešto plaćate. Cilj autorizacije je da po nekim kriterijima ustanovi bi li se transakcija trebala desiti ili ne, a onda i osigurati da se ta transakcija desi. Ili ne. Proces autorizacije je najčešće online, traje do 30 sekundi i kompliciran je do bola. Ima milijardu parametara, provjera, varijanti i podvarijanti.... I nema čekanja. Ako se ne desi u predviđeno vrijeme - time out.
Time out je ono što vam se obično dešava kad na Badnjak svi kupujete kao manijaci, povećate broj transacija u minuti na osam puta od uobičajenog broja, autorizacijski sustavi to trpe dok mogu, to jest dok prvi ne "pukne". Kad prvi uđe u time out, za zakašnjele autorizacije se počinju generirati storno poruke (reversal). U trenu se udvostruči broj poruka na mreži i sve lijepo ode kvragu. A onda vi stojite u redovima i psujete. Tako vam i treba jer kupujete zadnji dan. Pardon na digresiji.
Dakle, na početku autorizacije se pokušava shvatiti što se tu uopće dešava. Može se raditi o kartici s magnetskom trakom na POS terminalu koj prihvaća i chip, možda je netko gurnuo JCB chip karticu u chip bakomat koji taj brand uopće ne prihvaća, možda netko pokušava kupiti online 4 tone brašna Visa Electronom za koji je banka definirala da može raditi transakcije samo u situacijama gdje je trgovac osobno prisutan... Stoga se prvi dio autorizacije dešava offline između uređaja prihvatnog mjesta i sredstva plaćanja.
Primjerice, kartica i terminal "razgovaraju" o tome koje platne brandove i jedan i drugi podržavaju, koje aplikacije unutar nekog branda (možda loyalty) te koje sredstvo autentikacije (online PIN, offline PIN, potpis itd.). Recimo, u Velikoj Britaniji su se banke dogovorile da čak i kreditne kartice moraju imati provjeru PIN-a (od dana uvođenja chip kartica) te će se tamo terminal i kartica lako dogovoriti da korisnik mora ukucati PIN, a onda će terminal proslijediti taj PIN chipu u kartici, a ona će potvrditi ili negirati njegovu ispravnost. Kad vaša chip kreditna kartica pokuša napraviti transakciju na istom tom terminalu u Londonu, on će joj ponuditi offline PIN, ali kartica će odbiti i tražiti potpis, jer ju je vaša banka tako "personalizirala". A to je zato što moja inicijativa da se i u Hrvatskoj uvede chip&pin kao standard tržišta, tamo davne 2003, nije prošla unatoč mom cendranju i zapomaganju. Pa sad koristim i ovu priliku da, dvanaest godina kasnije, ustvrdim da sam bio u pravu. I da je trebalo. Teško zaboravljam poraze i dugo potom prigovaram.
Ako je čitav taj offline dio uspješno prošao pokreće se online dio. Putem zatvorene mreže autorizacijski zahtjev se proslijeđuje autorizacijskom sustavu na koji je terminal izravno spojen. Tada autorizaciski sustav prepoznaje radi li se o kartici koju on mora autorizirati (npr Zaba kartica na Zaba POS-u, ili kartica Karlovačke banke na online plaćanju Erste banke, ali su obje na autorizacijskom sustavu MBU-a) ili je u pitanju "tuđa" kartica. Ako je u pitanju "vlastito" sredstvo plaćanja nastavlja se niz sigurnosnih provjera, poput raznih kriptograma, datuma isteka kartice, dnevnih i tjednih limita, raspoloživih iznosa, online PIN i tako dalje.
Još jedna digresija: ako vam netko reklamira karticu bez limita - to ne postoji. Limiti uvijek postoje, zbog vaše sigurnosti (npr. krađa kartice) i zbog kreditne izloženosti banke. Samo što institucije koje vješto barataju CRM-om znaju kakve su vaše navike pa onda poslože limite tako da ih nikad ne dotaknete kad normalno trošite, a ako im se približite oni naprave brzinsku kredinu procjenu, nazovu vas i malo ih pomaknu. No, u većini slučajeva, kad se limit prijeđe, blagajnica će vam pred 19 ljudi iza vas u redu viknuti "GOSPODINE, NEMA DOVOLJNO RASPOLOŽIVIH SREDSTAVA NA KARTICI, IMATE LI KOJU DRUGU KOJA RADI?" Osobno sam, u više navrata, uspijevao zakucati van limita kartice koje navodno nisu imale limit. Obično se radilo o hrani i vinima. U tim situacijama hrane i vina nekad gubim kontrolu.
Elem, ukoliko su svi autorizacijski testovi prošli, ima sredstava na računu ili raspoloživog kreditnog limita, PIN je ok, sredstvo plaćanja je u okviru roka valjanja, kriptogrami vamo - tamo, autorizacija biva odobrena. Dobijete zelenu kvačicu, ili iziđe papirić ili što već - i roba je plaćena. Ili ste uzeli gotovinu. Iako vas u fazi autorizacije najčešće nitko neće financijski teretiti, svejedno je autorizacijski limit vašeg sredstva plaćanja umanjen za neki iznos. Jer, sredstava na računu ima, pa ako autorizacijski sustav to ne bi pratio onda bi mogli beskonačno puta potrošiti isti novac. Kad kroz iduću fazu (clearing) stigne transakcija onda se tereti račun, umanjuju se sredstva, a ova "viseća autorizacija" iliti rezervacija se uklanja.
Ukoliko je na mjesto plaćanja došla kartica koja nije na istom autorizacijskom sustavu kao i terminal koji transakciju prihvaća, autorizacijski sustav će po PAN-u (onaj veliki broj od 16 znamenaka na fronti kartice) prepoznati o kojoj se platnoj shemi i kojem izdavatelju platnog instrumenta radi te će kroz mrežu platne sheme na koju je autorizacijski server spojen poslati autorizacijski upit prema autorizacijskom serveru institucije izdavatelja, ponekad u banku na drugi kraj svijeta. (Ovo je bila ekstenzivna upotreba izvedenica riječi autorizacija.) I čekati najkasnije do trenutka kada nastupi time out (to vrijeme zapravo broji terminal). Izdavatelj najčešće odgovara na vrijeme porukom koja se zove autorizacijski odgovor, a u kojem se nalazi niz bitnih polja, od kojh je najvažnije "authorization ID". Ako ikad dođe do bilo kakve frke u smislu da bilo tko dovede u pitanje legitimnost transakcije, ovom će jedinstvenom oznakom prihvatitelj dokazivati da je izdavatelj odobrio autorizaciju i da je dužan platiti.
I to je više manje to oko autorizacije. Naravno, postoji bezbroj izuzetaka. Na primjer, nekad se čitava autorizacija može odraditi potpuno offline, između terminala i kartice. Naime, ako imate neku mašinu koja prodaje čokoladice i sokove, transakcije su tako male da je trošak cijelog autorizacijskog postupka prevelik, pa onda ako je kartica ok banka radije preuzima rizik da korisnik nema sredstava na računu nego da plaća autorizacijki proces. Pa onda terminal na kraju dana samo u jednom prijenosu podataka stutnji sve transkcije odjednom, kao bulk. Ili, u slučaju beskontaktnog plaćanja za neke kartice za koje se inače uvijek traži PIN može se propustiti transakcija do nekog iznosa bez PIN-a radi brzine. Čovjeku dođe milina da prošeće kroz tramvaj s beskontaktnim POS uređajem i svakome iz džepa potegne neki iznos.
Bitan izuzetak je i Visa SMS ili single message system, što je Visa propisala za neke kategorije transakcija kao obavezu (npr. bankomati) gdje autorizacijska poruka automatski predstavlja i poruku financijskog terećenja. U tom slučaju clearing ne postoji kao zaseban korak.
Ono što ovdje nisam opisivao je recimo 3D Secure, sigurnosni algoritam (proces) koji se dešava prije autorizacijskog zahtjeva (ako on ne uspije nikad ni ne počne autorizacija), a koji je pak tema za sebe. Koga zanima neka malo surfa, ima mjesta po internetu gdje je to objašnjeno dobro. Bitno je znati da za online plaćanja postoji taj neki 3D Secure. E da, na engleskoj Wikipediji su ga dijelom ispljuvali. Mislim da su to većim djelom lupetanja uslijed nepoznavanja materije (muggles), ali neću elaborirati. Osim za ručak.
Elem, clearing. Ako je bila on us transakcija, clearinga nema. Je li jasno zašto? Pa izdavatelj platnog instrumenta i vlasnik terminala su ista institucija, lijepo teretiš korisnika, daš novce trgovcu, svakog fljasneš nekom naknadom ili članarinom i kraj.
Ako je sredstvo plaćanja koje je bilo prihvaćeno izdano od strane neke druge institucije, prihvatitelj lijepo prikupi sve transakcije (generirane iz potvrđenih i isplaćenih autorizacija) koje trebaju biti naplaćene i skupi ih u jedan batch file (tj. file koji u sebi sadrži više batcheva ili skupina recorda istog tipa). Tko nikad nije vidio batch file, to su ona zelena slova koja u Matrixu cure niz ekran. Postoje neki ljudi koji to čitaju onako iz glave (bok Duško), ali to ne bih svrstavao pod normalno ponašanje, za to inače imamo kompjutere. Dakle, najveća većina poruka u tom bulk ili batch fileu su presentmenti (poruka 1250 ako se dobro sjećam nakon tolikih godina) kojima institucije prihvatitelji financijski terete institucije izdavatelja za pojedine transakcije. Osim milijardu tehničkih polja (authorization ID dobiven od izdavatelja u autorizacijskom procesu uključen) tu su i iznosi transakcije te iznos međubankarske naknade (interchange fee) koji mora biti u skladu s propisanim vrijednostima za konkretno taj i takav tip transakcije.
Jedan istiniti događaj koji zvuči kao vic. Kolega i kolegica kartičari su nešto tipkali po računalima, kolega je bio u nekim tehničkim pričama, a kolegica je spremala neku prezentaciju za Austriju, na engleskom. U jednom trenu ona njega pita "A kako se piše Beč?", a on zamišljeno odgovara "Pa BATCH valjda...
Dakle, u tom batchu, osim presentmenta, ima i još raznih drugih tipova recorda. Oni najčešće nastaju kada korisnik sredstva plaćanja ospori transakciju i požali se svojoj banci. Ili ukoliko banka na neki način prepozna da prihvatitelj nije smio poslati takvo plaćanje. Primjer je "late presentment", situacija u kojoj je prihvatitelj poslao bankomatsku transakciju s više od 45 dana nakon što je ona obavljena. Tu se radi o nekim platno pravnim sporovima koji se vode elektronskim putem a provode ih chargeback officeri.
Unutar ionako opskurne skupine ljudi koja se naziva kartičari, čini mi se da chargeback officeri dižu misticizam na još višu razinu (bok Danči). Naime, to što oni rade uglavnom nitko ne razumije. Oni najčešće mrmljaju sebi u bradu, nešto se ljute na neke nepoznate ljude, nikad ništa ne stižu, ali boje se da zakasne za representment zbog kašnjenja dokumentacije... A ljudi barataju milijunima i svaka njihova greška košta. Mislim, i security officeri imaju svoju čudnu priču, ali čini mi se da stručni skupovi chargeback officera uključuju tamne sobe, kukuljice, ritmično pjevanje, svijeće u pentagramima i žrtvovanja... Nije da je netko izvan kruga ikad to vidio i kasnije pričao.
Kad se prikupi jedan taj batch s transakcijama on se odašilje u clearing mrežu platne sheme. Kad svi prihvatitelji pošalju file koji sadrži transakcije svih izdavatelja koji su "radili" na terminalima te banke, čeka se "cut off time". To je trenutak završetka platnog perioda (jednom ili više puta u danu) kada platna shema počinje obrađivati dostavljene fileove. Ona iz fileova grupiranih po prihvatitelju izdvaja transakcije, grupira ih po izdavatelju (sve transakcije svih prihvatitelja za istog izdavatelja) i u idućoj razmjeni ih šalje izdavateljima.
Osim toga, radi se provjera konzistencije pojedinih recorda i batcheva iz perspektive strukture podataka, ali i primjerice i iz obračunatih naknada. Pripremaju se izvješća raznih vrsta za sve strane, pripremaju se nalozi za settlement ili poravnanje. Sve strane preuzimaju te batcheve i izvještaje te clearing period biva zaključen. Sve vezano uz clearing se dešava u tom nekom ritmu obračunskih perioda, za razliku od autorizacije koja je u realnom vremenu.
Bitna stvar za clearing je ova: transakcija poslana u clearing biva naplaćena od druge strane. Uvijek. Dakle, institucija koja treba platiti nema utjecaja na to hoće li platiti ili ne, ona druga institucija inicira zahtjev za plaćanje i platna shema samostalno povlači sredstva s računa kartične institucije, dakle obrnuto od onog što smo navikli u "normalnom" svijetu. Gdje onaj koji potražuje šalje fakturu, a onda onaj koji duguje odlučuje kad će platiti (po mogućnosti unutar valute). Ovdje "slanje fakture" povlači trenutno plaćanje, htio to dužnik ili ne.
Tu smo već u settlementu ili financijskom sravnjenju.
Settlement se tipično dešava dan nakon clearinga. Svaka banka kod svake platne sheme ima otvoren settlement račun ili više njih. Ako je banka u ulozi izdavatelja, ona će plaćati transakcije prema prihvatiteljima i uzimati novac od korisnika sredstava plaćanja (npr kartica). Ako je banka u ulozi prihvatitelja, ona će tipično primati sredstva na settlement račun i proslijeđivati ih trgovcima. Budući da se većina banaka bavi i izdavanjem i prihvatom kartica, nešto novca će joj pristizati na račun a nešto će s računa izlaziti. U ovisnosti je li banka snažniji prihvatitelj ili izdavatelj settlement račun će se više puniti ili prazniti.
Spomenuo sam da banka dan prije settlementa dobiva izvješća, između ostalog i podatak koje će joj biti stanje računa nakon što se settlement izvrši. Ukoliko će na računu biti premalo sredstava banka mora na vrijeme doznačiti dodatna ili se izlaže penalima.
Platne sheme imaju dosta propisanih penala prema bankama za razne greške u koracima, pravo je umijeće izbjegavati ih godinama, No, to sad nije tema.
Spomenuo sam višestruke settlement račune za jednu platnu shemu. To je mogućnost koju banke koriste da bi se što više sravnjenja obavljalo u valuti u kojoj je transakcija izvršena ili u valuti u kojoj je račun korisnika, da se izbjegnu dvostruke konverzije valute. No to nije uvijek moguće, jer banka nema settlement računa koliko je valuta na svijetu. Tako se može desiti da napravite transakciju u Drahmi, da se to poravna preko settlement računa u Euru i na kraju se tereti vaš tekući račun u kuni - dvije konverzije, na vašu štetu. Ali bojim se da je to cijena globalizacije.
Usput - tečaj po kojem se tereti vaš račun nužno ne mora imati veze ni sa čim što sam ovdje opisao, tečaj po kojem se tereti račun korisnika je poslovna odluka njegove banke i nije propisan nigdje. Neke će banke odigrati vrlo pošteno i teretiti za stvarni trošak, neke će ovo koristiti kao dodatni izvor prhoda "gdje se ne kuži".
Usput usput, ako putujete u inozemstvo i prodajno mjesto ili bankomat vam ponudi da platite traženi iznos u stranoj valuti ili da vam oni odmah konvertiraju plaćanje u kunu pa vam ponude odmah ta dva iznosa - nemojte u kuni. Samo nemojte. Bez puno zašto.
I to je to. Autorizacija, clearing, settlement, terećenje cardholdera, plaćanje trgovcu... Tko je imao snage i volje pa došao do ovdje u tekstu, skidam kapu. Tko je još i shvatio što pišem - klanjam se do poda. I meni je teško dok čitam što sam napisao.
I znam da je više pitanja otvoreno nego zatvoreno, da se još uvijek nije odgovorilo ništa o PayPalu, bezbrojnim terminalima na prodajnom mjestu, kartičnoj prijevari, tipovima EMV chipova... zapravo o većini stvari. Što se mene tiče, neka ostane na ovome. Meni je dosta bilo, ne vodi mi se škola kartičarstva u nastavcima.
Samo još jedan savjet za kraj. Odmah zapišite PIN svake kartice koju imate na njenu potpisnu traku, da ih ne zaboravite. I za eventualni slučaj da ih izgubite, da se džepar ne pati previše pogađanjem.
* O autoru: Goran Đoreski, predsjednik uprave Altus informacijske tehnologije d.o.o.
