'הלקוח תמיד צודק' אומר המשפט המפורסם. אבל מה קורה כשהלקוח עומד חסר אונים מול אתר קניות און ליין שמסרב לבקשתו הפשוטה?

כמו ישראלים רבים בתקופת הקורונה, בחרה מיכל (השם המלא שמור במערכת) מאזור המרכז לעשות קניות בעזרת שירות שופרסל און ליין. לאחר שהשלימה את הרכישה, היא ביקשה לוודא כי פרטי האשראי שלה לא ישמרו במאגר המידע של האתר. להפתעתה סירב האתר בעיקשות להסיר את פרטי הכרטיס שלה. מיכל שחששה שפרטי כרטיס האשראי שלה יגיעו לידיים זרות, נאלצה לפנות אל שירות הלקוחות של שופרסל און ליין באמצעות הצ'אט.

מתוך התכתבת עם נציג שירות הלקוחות בשופרסל און ליין. "את חייבת שיהיה רשום לך באתר לפחות כרטיס אשראי אחד".

היא עברה מנציג לנציג – בצ'אט, בוואסטאפ וגם במוקד הטלפוני ללא הועיל. אף אחד מאנשי החברה לא ידע להתמודד עם בקשתה הפשוטה – להסיר את פרטי כרטיס האשראי שלה מהאתר.  באחת השיחות המוקדן הטעה אותה וטען "את חייבת שיהיה רשום לך באתר לפחות כרטיס אשראי אחד". חלופה אחרת שהוצעה לה הייתה להסיר את החשבון שלה לחלוטין. רק לאחר פניות חוזרות ונשנות שנמשכו קרוב לחודש, נמצאה הנציגה שהסכימה להסיר את פרטי האשראי מהחשבון.

אישור ההצטרפות מהווה הסכמה לתנאי השימוש באתר

"האינטרס של הקמעונאי הוא להפוך את התהליך לפשוט"

מדוע בשופרסל און ליין כל כך רוצים לשמור את פרטי כרטיס האשראי של מיכל?
עומר מנשה הוא המייסד של חברת EMOJO, סוכנות דיגיטל המתמחה בתחומי המסחר והשיווק ברשת. לדבריו, "לכידת" פרטי אשראי במערכת שירות הלקוחות היא תופעה מוכרת: "זה מאוד נפוץ בארץ וגם בעולם שחברות לא נותנות להשאיר חשבון קיים בלי אמצעי תשלום. זהו נובע, למשל, מהרצון להגן על עצמן מפני פרקטיקות זדוניות כמו מכירת חשבונות עם ותק, מבחינתן חשבון הוא תקין כל עוד משויך אליו אמצעי תשלום".

אינטרס נוסף שמדיניות כזו נועדה לקדם הוא הגברת המכירות. אחד האתגרים המרכזיים בתחום הקניות ברשת, הוא תופעת ה"נטישה הוירטואלית" – תופעה נפוצה בה לקוחות נכנסים לאתר, בוחרים מוצרים לעגלת הקניות הוירטואלית ומסיבות שונות מתחרטים ולא משלימים את תהליך הרכישה.

"הנטישה הוירטואלית זו תופעה סופר מדאיגה מבחינת הקמעונאי", מספר מנשה, "הרי הוא השקיע כסף כדי להכניס אותך למאגר שלו כלקוח. בסופו של דבר רכישה היא תהליך מרובה שלבים – הלקוח צריך להיחשף למודעה, להחליט להיכנס לאתר, להחליט להוסיף מוצר לעגלה, להזין פרטי אשראי ואז להחליט להשלים את הרכישה. ככל שהרשת מורידה שלבים בתהליך הזה, אחוז השלמת הרכישות יהיה גדול יותר. ודאי שזה אינטרס גדול של כל קמעונאי, להפוך את התהליך לכמה שיותר פשוט. מבחינתם, המצב האידאלי הוא לתת לגולש ללחוץ על כפתור בודד – והמוצר שלו ובדרך אליו".

"לא ניתן למחוק כרטיס יחיד". צילום מסך מתוך אתר שופרסל אונליין
"לא ניתן למחוק כרטיס יחיד". צילום מסך מתוך אתר שופרסל און ליין

 

לפי נתוני חברת SALECYCLE לגבי קניות ברשת באתרים אמריקאיים, סרבול בהליכי ביצוע התשלום מהווה כשליש מהסיבות לנטישה וירטואלית. שיעור 'העגלות הנטושות' מגיע ל84%. בקרב רכישות מצרכי מזון, שיעור 'העגלות הנטושות' נמוך יותר, אך עדיין עולה על 70%. סביר להניח שקושי דומה ניצב גם בפני קמעונאים בישראל.

למה צריך לדבר עם נציג שירות כדי להסיר פרטים שהקלדתם באתר ?

לאתר שופרסל און ליין מדיניות יחודית משלו. לאחר שלקוח נרשם לאתר וביצע קניה, הוא לא יוכל (לפחות לא בלי פניות חוזרות ונשנות למוקד שירות הלקוחות) למחוק את פרטי האשראי, אלא אם ימחק את כל כרטיס הלקוח שלו.

מדיניות זו גובתה גם על ידי חלק מנציגי שירות הלקוחות, אך האתר חסר כל הסבר למדיניות זו ופניית "דבר" לשופרסל בנושא לא נענתה. למעשה מדובר במדיניות מתמשכת. בפברואר האחרון, טרם הסתבכה מ' עם שירות הלקוחות של החברה, בעקבות פניית "דבר" על תלונה דומה בעבר, הוסיפה הרשת לחצן לאתר, שמאפשר להסיר פרטי אשראי. אבל גם ללחצן החדש מדיניות ייחודית. כל נסיון להסרת פרטי האשראי מהחשבון נתקל בכיתוב "לא ניתן למחוק כרטיס יחיד", כלומר, הסרת פרטים מתאפשרת רק כשיש שני כרטיסים או יותר. כרטיס אחד לפחות "נלכד" והאתר "ישחרר" אותו רק תמורת כרטיס אחר.

עו"ד יהונתן קלינגר, מומחה לזכויות דיגיטליות, אומר ל"דבר" כי "המדיניות הזו היא בעייתית. היא לא מפרה בצורה מפורשת את החוק, אלא מהווה רק התנהלות לא מקובלת. זאת התנהלות שתעמיד את שופרסל בסיכון אם תהיה דליפה של פרטי האשראי". הבעיה לא מסתכמת רק בחוסר נוחות ללקוחות המעוניינים להסיר פרטים, אלא גם יוצרת מערכת שקל יותר לפורצי מחשבים לנצל למטרות כמו הזמנת משלוח על חשבון לקוחות תמימים.

אבטחה רכה לעומת המתחרים

השימוש באתר שופרסל און ליין, כמו כל אתר קמעונאות מקביל ברשת, מחייב הקלדת פרטי אשראי. בשונה מאתרים מתחרים, נוהלי האבטחה באתר של שופרסל הם רכים יותר. לאחר שהוקלדו פרטי האשראי פעם אחת, בכל רכישה נוספת מספיק להקליד שם וסיסמא בלבד. אם השם והסיסמא מאוכסנים בדפדפן של המחשב, הרי שפריצה למחשב מאפשרת לפורץ לבצע רכישה משופרסל על חשבון הלקוח לכל כתובת ואפילו קניה ל'איסוף עצמי' מסניף של הרשת. האתר לא דורש מידע מזהה נוסף בעת ביצוע התשלום, כמו מספר תעודת זהות ו/או 3 ספרות אחרונות בגב הכרטיס, פעולות שרשתות המתחרות בשופרסל דווקא כן דורשות.

בנוסף, החברה איננה מפרסמת באיזה אופן נשמרים פרטי התשלום, כאשר באתרים מתחרים מופיע הלוגו של תקן "PCI" – עדות לשימוש בתקן שנוצר על ידי חברות כרטיסי האשראי הגדולות בעולם, לשם לשמירה מאובטחת של הרשאות חיוב (TOKEN), ללא שמירת פרטי האשראי המלאים.

ייתכן שבשופרסל מניחים שהציבור אדיש, או לא מודע לחשיבות של סוגיות אבטחת המידע כמו גם השקיפות לגביהם. הבעיה היא שלא תמיד ניתן לתקן בדיעבד של הנזק מפריצה למחשב בודד או מדליפה גדולה של מידע ממאגר מרכזי וחשוב להקפיד על הכללים האופטימליים מראש. לפי חברת אבטחת המידע CSO, ספירה של 15 דליפות המידע הגדולות שפורסמו במאה ה-21 לבדן מעידה על דליפת מידע בהיקף של מעל למיליארד חשבונות. הפריצה הגדולה ביותר התרחשה למאגרי המידע של חברת ADOBE בשנת 2013, בה דלפו פרטים של כ-153 מליון לקוחות, כאשר מהמידע שדלף היה ניתן גם לפענח את פרטי האשראי.

האחריות על הלקוח בלבד

סעיף 76 בתקנון השירות של שופרסל מבהיר במפורש כי החברה אינה אחראית כלפי לקוחותיה לשימוש כלשהו של צד ג' בסיסמה שלא שייכת לו. בתנאי השימוש באתר שופרסל און ליין נכתב כי "החברה לא תהא אחראית ולא תישא בכל אחריות במקרה של חדירה או פריצה ו/או נזק כלשהוא שנגרם בשל השימוש באתר".  לגבי אבטחת המידע באתר עצמו, לא נמסרו פרטים, אלא רק מסר כללי לפיו: "שופרסל עושה כל שביכולתה ונעזרת באמצעי אבטחה טכנולוגיים וארגוניים מתקדמים כדי לאבטח את האתר ואת דרכי התקשורת דרכו ואת המידע המצוי בשליטתה, כנגד ניצול מקרי או מכוון, אובדן, הרס או כנגד גישה על ידי אנשים בלתי מוסמכים או מורשים".

תגובת שופרסל לא התקבלה עד מועד פרסום הכתבה ותפורסם אם וכאשר תתקבל.