פורסם במקור בכלכליסט בגרסא ערוכה. כאן יש לינקים, אין עריכה.
שימוש במספר טלפון כמזהה באפליקציות הוא דבר לא רע; שימוש במספר הזה כמזהה של חשבון הבנק וההתנהלות הפיננסית הוא פגום מהיסוד. זו הנחת המוצא של הפוסט הזה, שבא להסביר למה הרעיון של משרד האוצר במסגרת חוק ההסדרים שבו הם מבקשים כי העברות כספים בין חשבונות בנק ימופתחו לפי מספר הטלפון הוא רעיון רע.
מה ההצעה?
בבסיס הרעיון עומדת קביעה נכונה: שוק התשלומים האלקטרוניים צריך להפתח לתחרות. אפליקציה אחת מחזיקה בחלק דומיננטי מהשוק, וזה לא בריא גם לאותה האפליקציה. בהעדר תחרות ממשית אין תמריץ להתקדם, לפתח, לשנות, וגם אין פתרון למי שרוצה מוצרים מתוחכמים יותר (לדוגמא, ביט גובה עמלה מלקוחות עסקיים). הרעיון לאפשר קישוריות בין כלל אמצעי התשלום הוא רעיון נכון.
מה הבעיה?
הבעיה היא, ברגיל, היישום. במסגרת הצעת חוק ההסדרים, ההצעה היא לאפשר העברת כספים בין כל שירות תשלומים אחד למשנהו באמצעות פרט מזהה. פרט מזהה לפי ההגדרה יכול להיות מספר טלפון, כתובת דואר אלקטרוני, כינוי, או מזהה אחר שאינו חשבון התשלום. הרעיון עצמו נשמע טוב: כמו שאני מעביר כסף ב-PayPal לאדם מסוים, אני יכול להעביר לו כסף בהעברה אלקטרונית מחשבון הבנק. זה נהדר. אבל, צריך לזכור שיש סיבה שמספר חשבון הבנק הוא מספר מסובך.
הראשון הוא כי להבדיל ממספר טלפון, לחשבונות בנק יש ספרת ביקורת. כלומר, לא כל מספר חשבון שתקלידו יהיה תקין להעברה. נכון, לפעמים יש העברות למספר חשבון שגוי והתוצאה בלתי הפיכה, אבל ברוב המקרים אם תנסו להקליד מספר לא נכון תקבלו הודעת שגיאה. זה חשוב מאוד. למה? כי להבדיל ממספר טלפון שבו קל לטעות בחיוג (תחשבו על כמות הפעמים שאתם מחייגים מספר ומגיעים בטעות למספר הלא-נכון), במספר חשבון בנק זה קשה. כלומר, הקושי והבעיה הם חלק מכוון מהטכניקה: קשה לבצע העברה כי זו עסקה בלתי הפיכה שכדאי שלא יבצעו אותה בהיסח דעת.
השני הוא כי מספר טלפון קל לגנוב. תופעת ה-SIM Jacking בה מניידים בצורה כפויה מספר טלפון של אדם מסוים קיימת בעצימות נמוכה בישראל; אבל, אם אנחנו נוכל לנייד מספר כדי לגנוב את חשבון הבנק? הצלחנו! כלומר, לכו תוודאו שהמספר שמודיע על ביצוע התשלום או שמקבל את התשלום לא נחטפו.
השלישית, כמובן, היא שאפליקציות התשלומים כנראה כפופות לפחות סודיות מבנקים.
ומה עם הפרטיות שלי?
ומכאן, אפשר לדבר על בעיית הפרטיות. לחלק מהאנשים יש שני מספרי טלפון (או יותר). הסיבה להחזיק שני מספרים הוא מספר אחד לחברים, משפחה וכדומה ומספר אחד לשירותים מקצועיים (וספאם). אני לא נותן יותר את מספר הטלפון האישי שלי כשאני מבקש הצעת מחיר לביטוח. אני נותן את מספר הטלפון החד-פעמי, שאני יכול להפטר ממנו בכל עת. למה? כי אחרת אני אוצף בספאם כל היום. אם אני אצטרך להשתמש באותו מספר טלפון לבנק וליתר התשלומים אז הפרטיות שלי תעלם: אני אשלם לאינסטלטור דרך המספר הפרטי והוא יגלה את המספר שלי, ואז יתחיל לשלוח לי ספאם. וזה רע.
בנוסף, בסופו של דבר, כדי לאפשר העברה כזו על בסיס מזהה שהוא מספר טלפון נצטרך להחזיק מסלקה. המסלקה הזו תעביר מידע על מה המזהה הסופי (מספר החשבון) ואיך מתממשקים אליו. המסלקה הזו, כמו כל מאגר מידע אחר בישראל, תפרץ ותהיה גלויה לכולם.
לכן, עם כמה שהרעיון הוא נכון, היישום כאן בחוק (ולא ברגולציה עצמית) הוא שגוי מהיסוד.
העבר כספים מחשבונות בנק אפשרית גם כיום בתנאי שבידי המעביר מספר מדוייק של חשבון המקבל כולל מספר בנק ומספר סניף, או ה-IBAN. אינני מכיר אפליקציה בסלולר או בדפדפן שיודעת לחשב ספרת ביקורת של מס' הבנק מס' הסניף ומספר החשבון, לעומת היכולת לחשב ספרת ביקורת של תעודת זהות. לאפליקצית היה שרות כזה, שפעלה די טוב מכרטיס החיוב שלהם לטלפון והעסקה לא הייתה מאושרת עם הצד השני לא העביר את הכסף לחשבונו.
אני סבור שהאחריות של משתמשים מספיק טובה, באותה מידה שהייתה טובה, למילוי פרטים בהמחאות (שיקים).
הבעיה יותר חמורה בשימוש במסלקות "מאובטחות" ונתקלתי יותר מפעם אחת בחיוב כפול ומשולש בתשלום לגוף ממלכתי.
הפתרון הנכון לבצע העברות באמצעות כרטיסי חיוב שמוטמעים בסלולר (Apple-Pay או Google-Pay) ואם אין אישור של מפעיל כרטיס החיוב, שהוא ברירת המחדל הטרנזקציה לא תושלם. זהו עונה לחד הערכיות והיעדר ספרת ביקורת למספר הסלולרי.
תיקונצ'יק, סעיף "מה הבעיה": "ברגיל" -> "כרגיל"
שלא לדבר על העובדה שזה רלוונטי רק למי שנמצא בארץ (או בראומינג). כתושב חוץ בלי מספר ישראלי אני לא יכול לבצע העברות כיום בארץ כי כולם רוצים ביט (ושלא לדבר על העובדה שלפחות דיסקונט לא מסוגלים לשלוח לי קוד אישור למספר חול).