Apple Pay - người khổng lồ trong thị trường thanh toán không tiếp xúc

10:31 | 19/06/2015

Apple Pay là phương thức thanh toán di động sử dụng công nghệ giao tiếp ở khoảng cách gần (NFC) trên nền tảng các thiết bị của Apple. Được giới thiệu từ buổi lễ ra mắt iPhone 6 (ngày 9/9/2014) nhưng một tháng sau Apple Pay mới chính thức xuất hiện.


Ban đầu, dịch vụ này chỉ có trên iPhone 6 và iPhone 6 Plus, nhưng đến đầu năm 2015, iPhone 5/5c/5s có thể sử dụng Apple Pay khi kết hợp với Apple Watch. Apple đã phối hợp với American Express, MasterCard và Visa để đưa ra phương thức thanh toán mới này cho thẻ ghi nợ và thẻ tín dụng điện tử. 
 
Để đảm bảo Apple Pay được chấp nhận sử dụng rộng rãi, ngay từ những ngày đầu triển khai, Apple đã cộng tác với 6 ngân hàng phát hành thẻ tín dụng hàng đầu của Hoa Kỳ và 220 ngàn điểm chấp nhận thanh toán không tiếp xúc. Các ứng dụng Groupon, Panera Bread và Uber tương thích với Apple Pay ngay khi dịch vụ này đi vào hoạt động và với nỗ lực của hàng trăm lập trình viên, ứng dụng của các dịch vụ như Levi’s Stadium, Airbnb, Fancy, Hotel Tonight liên tiếp được bổ sung vào danh sách đó. Và những gì mà Apple Pay đã đạt được thực sự là một kỳ tích. Tim Cook, tổng giám đốc Apple cho biết: “Chỉ sau 3 tháng Apple Pay chiếm hơn 2/3 doanh số thanh toán không tiếp xúc” và “2015 sẽ là năm của Apple Pay”. Riêng tại công ty bán lẻ Whole Foods, số lượng thanh toán không tiếp xúc đã tăng 400%. Vậy điều gì đã dẫn đến thành công của Apple Pay, và kéo theo nó là sự bùng nổ của thanh toán không tiếp xúc sau cả chục năm thử nghiệm các phương án khác nhau?
 
Các thế mạnh của Apple Pay
 
Tính liền mạch, dễ sử dụng của dịch vụ
 
Được quản lý trong mục “Passbook and Apple Pay” của thực đơn Settings (trong iOS). Danh sách các thẻ tín dụng được thêm vào Passbook được liệt kê cùng với các thông tin như địa chỉ nhận sao kê, thư điện tử và số điện thoại. Khi người dùng chạm vào, hệ thống sẽ hiển thị các thông tin cụ thể như các chữ số cuối của thẻ, của số tài khoản thiết bị (Device Account Numer - mã số dùng để thay thế cho số thẻ trong các giao dịch) và thông tin liên hệ của ngân hàng phát hành. Một số thẻ còn có thể hiển thị danh sách các giao dịch gần nhất.
 
Passbook là thành phần chủ chốt của Apple Pay, được kích hoạt sau khi nâng cấp lên iOS 8. Thẻ tín dụng gắn với tài khoản iTunes của người dùng sẽ được tự động chuyển vào Passbook và sẵn sàng để sử dụng. Người dùng có thể bổ sung các thẻ tín dụng/thẻ ghi nợ khác bằng cách dùng iPhone chụp ảnh thẻ rồi tải lên Passbook.
 
Việc xác thực thẻ thường được thực hiện chỉ trong vài giây, nhưng trong một số trường hợp, người dùng phải xác thực kỹ hơn với ngân hàng phát hành (vấn đề này sẽ phân tích ở phần cuối bài viết). Sau khi được xác thực, thẻ sẽ có thể được sử dụng để mua sắm tại các cửa hàng và cả trong các ứng dụng trên điện thoại. Apple Pay cho phép đăng ký tối đa 8 thẻ. Khi mua sắm tại cửa hàng, người dùng chỉ cần đưa iPhone của mình lại gần thiết bị thanh toán, màn hình iPhone bật sáng và hiển thị thẻ mặc định, người dùng chạm ngón tay vào cảm ứng Touch ID để xác thực. Điện thoại rung lên cùng với một tiếng “bíp” báo hiệu giao dịch đã hoàn tất. Để thanh toán trực tuyến, người dùng chọn Apple Pay là phương thức thanh toán rồi xác thực bằng Touch ID. Rõ ràng, việc xác thực bằng Touch ID đơn giản và thuận tiện hơn rất nhiều so với việc nhập mã PIN. Quy trình thanh toán trực tuyến cũng được rút gọn khá nhiều vì người dùng không cần nhập thông tin thẻ cũng như địa chỉ giao hàng (trừ trường hợp cần chuyển quà cho người khác). Khi mất điện thoại, người dùng có thể dùng dịch vụ Find My iPhone để vô hiệu dịch vụ Apple Pay từ xa.
 
Nếu thanh toán bằng Apple Watch, người dùng chỉ cần nhấn kép vào nút bấm cạnh Digital Crown và giữ mặt đồng hồ gần đầu đọc không tiếp xúc. Đồng hồ rung nhẹ với một tiếng “bíp” xác nhận thông tin thanh toán đã được gửi đi. Cả hai trang iMore và Cult of Mac đều cho biết khi người dùng đeo Apple Watch lần đầu tiên, họ phải nhập một mã PIN để xác thực Apple Pay. Sau đó, chiếc đồng hồ sẽ dùng 4 ống kính phủ saphia (ngọc bích) ở mặt dưới để cảm nhận sự tiếp xúc với da, để xác thực các khoản thanh toán. Nếu đồng hồ được tháo khỏi cổ tay người dùng, đồng hồ sẽ bị khóa và không thể dùng để thanh toán được nữa; Người dùng phải nhập lại mã PIN khi đeo lại nó.
 
Sự kết hợp chặt chẽ các công nghệ thanh toán và bảo mật tiên tiến
 
Apple Pay là sự kết hợp của công nghệ giao tiếp ở khoảng cách gần (NFC), một con chíp chuyên dụng để lưu trữ thông tin thanh toán mã hóa (được biết tới với tên gọi Secure Element), công nghệ xác thực bằng vân tay độc đáo Touch ID của Apple và khả năng sử dụng giải pháp tokenization của dịch vụ Passbook trong hệ điều hành iOS. Chúng ta đều biết rằng iPhone 6 và iPhone 6 Plus có ăng-ten NFC, nhưng như thực tế nhiều năm qua đã cho thấy: chỉ riêng công nghệ NFC thì không đem đến khả năng thanh toán không tiếp xúc an toàn. Để hỗ trợ cho Apple Pay, iPhone được bổ sung con chíp chuyên dụng Secure Element để lưu giữ tất cả các số thẻ tín dụng và thông tin thanh toán của người dùng – những thông tin đó không bao giờ được tải lên iCloud hay các máy chủ của Apple. Điều này hoàn toàn đối lập với giải pháp Google Wallet, trong đó Google phải chịu tốn rất nhiều công sức để bảo mật thông tin mà vẫn không thể làm yên lòng người dùng.
 
Khi một chiếc thẻ tín dụng hay thẻ ghi nợ được chụp ảnh để đưa vào Passbook, nó được gán cho một token – một mã Device Account Number để lưu trong Secure Element thay cho số thẻ. Đó là một mã gồm 16 chữ số ngẫu nhiên, chỉ có 4 chữ số cuối trùng với 4 chữ số cuối của số thẻ, không thể dịch ngược lại thành số thẻ, để bảo vệ người dùng khỏi các rủi ro an ninh khi cửa hàng bị tin tặc tấn công. Khi giao dịch thanh toán được thực hiện, mã số DAN được truyền qua NFC, cùng với một mã bảo mật động để xác thực giao dịch. Theo đặc tả EMV Payment Tokenization, mã bảo mật này thường gồm dữ liệu mã hóa từ DAN, thông tin về thiết bị khởi tạo giao dịch và thông tin về giao dịch. Tuy nhiên, các thành phần chính xác tạo nên mã bảo mật của Apple Pay vẫn chưa được công bố. Device Account Number được gửi tới cơ sở chấp nhận thẻ (đơn vị bán hàng) và được nơi này gửi tới ngân hàng phát hành thẻ (thông qua hệ thống xử lý thanh toán của tổ chức thẻ quốc tế như Visa, MasterCard – nơi mã số token được ánh xạ thành số thẻ thực). Nếu giao dịch được phê duyệt, ngân hàng phát hành sẽ gửi một thông điệp trả lại cho cơ sở chấp nhận thẻ (thông qua mạng lưới thanh toán như đã nêu ở trên) để báo là giao dịch có thể được thực hiện. Cách làm này an toàn hơn quy trình thanh toán thông thường vì các cơ sở chấp nhận thẻ luôn làm việc với mã số DAN và do đó, không bao giờ biết hay lưu giữ số thẻ của khách hàng. Cũng theo EMV Payment Tokenization Specification, để kết thúc một giao dịch dựa trên token từ thiết bị di động cần có một dạng xác thực người dùng, và Apple Pay đã sử dụng sự đơn giản của Touch ID để giúp người dùng khỏi phải nhập mã xác thực động.
 
Mã xác thực động và mã DAN không phải là công nghệ độc quyền của Apple (cũng giống như giao thức NFC) nhưng họ đã tận dụng những công nghệ sẵn có để tạo nên một dịch vụ thanh toán không tiếp xúc gần như hoàn hảo, vừa bảo mật vừa tiện dụng cho khách hàng. Thanh toán qua Apple Pay được cho là có mức rủi ro thấp hơn các thanh toán không có thẻ (card not present) thông thường. Nhờ đó, Apple đã có thể làm việc với các ngân hàng lớn để đạt được thỏa thuận thu phí mỗi khi khách hàng sử dụng Apple Pay để thanh toán. Thời báo tài chính (Financial Times) cho biết, Apple nhận được 0,15% giá trị giao dịch. Apple Pay đang chiếm ưu thế trên thị thường thanh toán không tiếp xúc. Điều đó thúc đẩy Google đưa ra Android Pay, Samsung mua LoopPay để phát triển Samsung Pay (mặc dù những ý kiến đánh giá ban đầu cho rằng các dịch vụ này không sánh được với Apple Pay).
 
Điểm yếu của Apple Pay
 
Thực tế trên thị trường đã nhanh chóng cho chúng ta phần nào của câu trả lời. Ngay từ tháng 1 vừa qua, Cherian Abraham, trưởng bộ phận thanh toán và thương mại di động của công ty Experian Global Consulting, đã viết về nguy cơ gian lận qua các giao dịch qua Apple Pay. Abraham cho biết, một nhà phát hành thẻ đã nhận thấy tỷ lệ gian lận trong các giao dịch qua Apple Pay lên tới 6%, cao gấp 60 lần tỷ lệ gian lận trong giao dịch thẻ tín dụng thông thường (trong khi họ hy vọng Apple Pay giúp giảm tỷ lệ gian lận xuống còn 0,02-0,03%). Vấn đề nằm ở “Luồng vàng” (Yellow Path) trong quy trình xác thực thẻ lần đầu – khi người dùng liên kết thẻ vào Passbook của iPhone. Với các khách hàng có lịch sử giao dịch tương đối dài, quá trình xác thực thẻ được đưa qua “Luồng xanh” và được chấp nhận ngay. Tuy nhiên, khách hàng sẽ phải chuyển sang “Luồng vàng” trong các trường hợp sau:
 
- AppleID và thẻ được liên kết sau một thời điểm quy định;
 
- Tài khoản Apple mới bị thay đổi;
 
- Tài khoản Apple đã không hoạt động trong vòng 1 năm;
 
- AppleID quá mới so với thời điểm ra mắt Apple Pay và yêu cầu liên kết thẻ.
 
Khi đó, khách hàng phải tải xuống ứng dụng của ngân hàng phát hành (và xác thực qua đó) hay gọi điện thoại đến trung tâm chăm sóc/xác thực qua thư điện tử. Phần lớn các yêu cầu của “Luồng vàng” được chuyển tới các trung tâm chăm sóc, nơi khách hàng chỉ cần đọc 4 chữ số cuối của mã an sinh xã hội là có thể được chấp thuận. Điều này dẫn đến tình trạng, các nhóm tội phạm thu thập thông tin cá nhân của các khách hàng và dùng chúng để liên kết iPhone với những thẻ tín dụng bị đánh cắp rồi lại dùng Apple Pay để mua sắm hàng hóa đắt tiền (thường là mua từ các Apple Store!).
 
Avivah Litan, phó chủ tịch và đồng thời là nhà phân tích nổi tiếng của Gartner, cho rằng đây không phải là vấn đề của Apple Pay, mà là điểm yếu chung của mọi giải pháp thương mại di động. Tuy nhiên, Abraham cho rằng có một phần lỗi của Apple khi họ không quy định những biện pháp kiểm tra bắt buộc ở luồng vàng cho tới thời điểm trước khi Apple Pay được khai trương một tháng, khiến cho các ngân hàng có quá ít thời gian để định ra và thực thi các biện pháp xác thực mạnh. Lỗ hổng này trong phương thức thanh toán Apple Pay cho thấy mức độ khó khăn của việc bảo vệ các giao dịch qua thiết bị di động và nhắc nhở chúng ta rằng độ an toàn của mỗi hệ thống chỉ bằng độ an toàn của khâu yếu nhất của nó.