Tự xây dựng bộ xử lý thanh toán của riêng mình
(voidfox.com/blog)- Tuyên bố tự xây dựng Payment Processor nghe có vẻ phổ biến, nhưng trên thực tế đây là bài toán khó vì các rào cản kỹ thuật, tài chính và pháp lý đan xen phức tạp
- Việc xây dựng một mạng thanh toán độc lập mà không có cấu trúc MSP/PayFac và tài trợ bảo trợ từ ngân hàng gần như là bất khả thi
- Nghĩa vụ về KYC·KYCC, bảo mật·chứng nhận, quản lý rủi ro là cực lớn, khiến các dịch vụ nhỏ khó có thể gánh nổi
- Phương án thay thế thông qua nhà cung cấp thanh toán rủi ro cao đi kèm các điều kiện thực tế không bền vững như phí 15% và yêu cầu tiền ký quỹ
- Cuối cùng, bài viết chỉ ra rằng do ảnh hưởng của chính các mạng thẻ như Visa·Mastercard, nên không có giải pháp căn cơ
Cấu trúc của bộ xử lý thanh toán
- Thuật ngữ "bộ xử lý thanh toán" trên thực tế bao hàm một cấu trúc nhiều tầng gồm nhiều tổ chức khác nhau
- Payment Card Networks (PCN): các mạng thẻ như Visa, Mastercard
- Acquirer: đơn vị thuộc ngân hàng trực tiếp phụ trách phát hành và quyết toán
- Merchant Service Providers (MSP): truyền tải thông tin thanh toán và cung cấp thiết bị đầu cuối POS
- Payment Facilitators (PayFacs): như Stripe, PayPal, đứng ra nhận tiền rồi phân phối lại cho cửa hàng
- Merchant / Sub-merchant: Itch là Merchant, còn nhà sáng tạo là Sub-merchant
Thực tế của việc tự lập PayFac
- Muốn trở thành PayFac thì bắt buộc phải có sự bảo trợ từ một ngân hàng (Acquirer)
- Ngân hàng sẽ thẩm định rất nghiêm ngặt về rủi ro, tài sản và năng lực xử lý chargeback
- Đơn vị vận hành phải vượt qua các cuộc kiểm toán và chứng nhận nghiêm ngặt về bảo mật, độ tin cậy và tính chính xác, đồng thời cần một đội ngũ kỹ sư quy mô lớn
- Theo quy định KYC/KYCC, đơn vị này phải chịu trách nhiệm xác minh danh tính của mọi người dùng, cũng như lưu trữ và kiểm chứng an toàn
- Nếu xử lý nội dung người lớn, còn phải đáp ứng thêm xác minh độ tuổi và các quy định tăng cường
Giới hạn thực tế của Itch
- Itch trên thực tế gần như dựa vào một người vận hành cùng một lực lượng hỗ trợ nhỏ
- Hiện tại nó cũng vận hành một phần giống PayFac, nhưng việc quyết toán thực tế vẫn đi qua các PayFac bên ngoài như PayPal
- Trong tình huống này, việc vận hành một PayFac độc lập là bất khả thi; ngay cả Valve cũng sẽ cần một tổ chức riêng ở quy mô đó
- Dù có xây dựng được đi nữa, cuối cùng vẫn không thể tránh khỏi quản lý rủi ro và kiểm duyệt từ phía ngân hàng và PCN
Nhà cung cấp thanh toán rủi ro cao (High Risk MSPs)
- Nội dung người lớn về cơ bản được phân loại là ngành rủi ro cao
- CCBill, Epoch là những ví dụ tiêu biểu, và họ đưa ra các điều kiện cực đoan như phí 15%+ và yêu cầu ký quỹ 25%
- Mức này hoàn toàn không thể so sánh với mức phí thông thường 3% và quyết toán trong 24 giờ
- Về phía ngân hàng, các giao dịch liên kết với CCBill cũng thường bị chặn do cảnh báo gian lận
- Kết cục là chi phí và rủi ro quá mức đối với các nhà sáng tạo nhỏ hoặc Itch
Sự can thiệp trực tiếp của Visa/Mastercard
- Như trường hợp Fetlife năm 2017, bản thân PCN có thể yêu cầu MSP ngừng giao dịch vì lý do liên quan đến một số loại nội dung cụ thể
- Điều này có thể xảy ra bất cứ lúc nào, bất kể có sử dụng MSP rủi ro cao hay không
- Nói cách khác, đi qua mắt xích nào trong hệ thống thanh toán thì nếu PCN can thiệp, cùng một vấn đề vẫn sẽ lặp lại
Thử nghiệm các phương thức thanh toán thay thế
- ACH/eCheck: bảo mật yếu, người dùng thiếu tin tưởng
- Wire transfer: phí cao cho mỗi giao dịch, xử lý chậm
- Paper check: trên thực tế không khả thi
- Crypto: gây tranh cãi và thiếu tính thực dụng
- Thẻ trả trước (nạp tiền tại cửa hàng tiện lợi): có ở một số khu vực như Nhật Bản, nhưng không thể mở rộng toàn cầu
Rủi ro pháp lý
- Hệ thống nạp và rút tiền vượt một quy mô nhất định có thể bị phân loại vào diện chịu quy định ngân hàng
- Khả năng cao sẽ chịu áp dụng các quy định tài chính như 12 CFR 1005E của Mỹ
- Trong trường hợp đó, gánh nặng tuân thủ AML (chống rửa tiền) sẽ được cộng thêm
Vấn đề trong mô hình doanh thu của Itch
- Bản thân Itch có mô hình doanh thu mong manh và đang ở tình trạng phải trả thủ công doanh thu cho từng nhà sáng tạo
- Có chỉ trích rằng phản ứng chậm do thiếu nguồn lực vận hành, nhưng trên thực tế không có phương án thay thế
- Việc dùng MSP rủi ro cao hay tăng phí cũng khó thực hiện vì rủi ro PR quá lớn
Kết luận
- Việc xây dựng một mạng thanh toán riêng là bài toán khó đến mức ngay cả Valve cũng khó làm được, và với Itch thì là bất khả thi
- High Risk MSPs là phương án không thể gánh nổi về mặt phí, tiền ký quỹ và quản lý rủi ro
- Về căn bản, quyền quyết định của các PCN như Visa/Mastercard là tuyệt đối, nên các lựa chọn thay thế rất hạn chế
- Sự việc lần này cho thấy đây không hẳn là trách nhiệm của Itch, mà là vấn đề trong cấu trúc quyền lực của mạng thanh toán
1 bình luận
Ý kiến trên Hacker News
Một hệ thống như Pix của Brazil mới là lời giải thực sự: ngân hàng trung ương trực tiếp vận hành hệ thống thanh toán số như tiền mặt, không thu phí từ người dùng qua thuế; khi xã hội tiến tới không tiền mặt thì chỉ có ý nghĩa nếu chính phủ nắm quyền kiểm soát phương án thay thế cho tiền tệ và hệ thống thanh toán; vấn đề lớn của thị trường thanh toán hiện nay là các bên trung gian đang nắm quá nhiều quyền lực và can thiệp cả vào việc người tiêu dùng mua hàng gì
Liên minh châu Âu cũng đã áp dụng nhiều quy định để cho phép chuyển khoản liên ngân hàng giá rẻ và thanh toán trực tuyến, nhưng Pix của Brazil có vẻ vẫn tốt hơn (dù tôi chưa dùng thử); mức phí thanh toán 3% ở Mỹ tồn tại được là vì các phương án thay thế đã bị Visa/MC cản trở; cũng giống như việc tư nhân hóa hệ thống cấp nước không tốt cho người dân, tôi nghĩ chuyển tiền trực tuyến về thực chất cũng nên được đối xử như hạ tầng công cộng
Nhân viên Ngân hàng Trung ương Anh cách đây 20 năm vẫn có thể mở tài khoản trực tiếp tại ngân hàng trung ương
Tôi nghĩ hoàn toàn có thể làm được mà không cần ngân hàng trung ương tự tay làm mọi thứ; ở Canada có Interac e-transfer do nhiều tổ chức tài chính liên kết vận hành; chưa hoàn hảo nhưng đúng như câu “hoàn hảo là kẻ thù của cái tốt”, đây là một phương án thay thế thực tế
Patreon suýt bị Stripe loại bỏ gần như hoàn toàn vào năm 2018 vì Mastercard coi nội dung có yếu tố phơi bày cơ thể (NSFW) là vấn đề; Patreon đã phải loại phần lớn nhà sáng tạo NSFW và OnlyFans hấp thụ nhóm này, rồi phát triển lớn hơn Patreon rất nhiều
Để tham khảo, OnlyFans cũng đang dùng Stripe làm mô-đun thanh toán
Nhưng điều khiến tôi thắc mắc là vì sao các hãng thẻ lại không phản đối OnlyFans
Sự ác cảm của người Mỹ với chuyển khoản ngân hàng (wire transfer) có vẻ khá phi lý; tôi không hiểu vì sao họ không có hệ thống thanh toán tức thời như châu Âu; kịch bản “cửa hàng giữ luôn tiền” được nhắc trong bài gốc theo tôi cũng hoàn toàn có thể xảy ra với thanh toán bằng thẻ tín dụng; còn vấn đề thông lượng xử lý thanh toán thì nghe lạ vì chuyện đó đáng ra đã được giải quyết từ vài chục năm trước
Mỹ cũng có wire transfer nhưng chi phí khá cao, khoảng 15–40 USD, và gần như không thể đảo ngược nếu không có sự phối hợp của ngân hàng nhận; chủ yếu chỉ dùng cho các khoản chuyển gấp giá trị lớn như mua nhà; còn ACH và các hình thức ghi nợ tự động thì có nhiều cách vận hành như xử lý theo lô qua đêm, nhưng người ta ngại công khai số tài khoản và việc liên kết giữa chuyển khoản với lập hóa đơn cũng không nhất quán nên khá bất tiện; thẻ tín dụng thì cho phép hoàn tiền (chargeback) ngay cả khi không có sự hợp tác từ người bán, nên bảo vệ người tiêu dùng tốt hơn tương đối
Có thể “wire transfer” mang nghĩa khác nhau ở Mỹ và châu Âu; ở Mỹ, wire transfer là kiểu phải yêu cầu trực tiếp với ngân hàng để gửi tiền sang tài khoản bên kia, mà ngay cả như vậy cũng thường xử lý vào ngày hôm sau nên chậm; vì phí cao và xử lý chậm nên thực tế gần như không ai dùng
Muốn thay đổi hệ thống tài chính thì tốn kém ở cả hạ tầng lẫn quy trình; không phải người Mỹ ghét nó, mà là các tổ chức đều bám vào cấu trúc tối đa hóa lợi nhuận nên cản trở đổi mới; thêm nữa, một hệ thống ngân hàng toàn quốc sẽ cần kiểu hệ thống định danh quốc gia (ví dụ như số an sinh xã hội), nhưng người dân rất phản cảm vì lý do quyền riêng tư
Châu Âu và Mỹ có hệ sinh thái tài chính rất khác nhau; giống như “hàng rào của Chesterton”, phải hiểu vì sao cấu trúc hiện tại tồn tại rồi mới tính chuyện thay đổi; Mỹ đã triển khai FedNow (một hình thức thanh toán tức thời tương tự SEPA của châu Âu) nhưng do hệ thống phân mảnh nên mức độ phổ biến còn chậm; wire transfer thì đắt, lại không có điểm thưởng, hoàn tiền hay tín dụng đi kèm nên không hấp dẫn người dùng; còn thẻ tín dụng thì nếu có sự cố, luật bảo vệ người tiêu dùng thường giúp hoàn tiền được
Nỗi lo rằng người bán có thể tự ý lấy tiền trong thanh toán bằng thẻ thực ra không quá hợp lý; đơn vị xử lý thanh toán vẫn cho chargeback ngay cả khi không có lý do rõ ràng theo quy trình; đặc biệt với hàng hóa vô hình, chargeback xảy ra thường xuyên hơn và còn kéo theo phí bổ sung cho người bán, nên rất nặng với các nhà bán hàng nhỏ; vì thế có những mức giá sản phẩm mà gần như không thể bán được, hoặc phải tăng giá lên
Tự xây hệ thống xử lý thanh toán về thực tế là điều khó ngay cả với các công ty lớn như Valve hay Itch; lý do là gần như phải xây cả một ngân hàng, mà rào cản lớn nhất lại là chính mạng lưới; các quy định phức tạp như tuân thủ PCI-DSS (chuẩn bảo mật ngành thẻ) cũng không hề đơn giản; xét đến cùng, trừ khi thoát ra được sang một hệ thống tiền tệ hoàn toàn khác, còn không thì rất khó thay đổi
PCI-DSS trong một số trường hợp là khó, nhưng nếu giới hạn phạm vi tốt thì vẫn có thể làm hiệu quả; với đội ngũ nhỏ như Itch thì có thể quá tải, nhưng ở quy mô như Valve thì tôi nghĩ hoàn toàn có thể xử lý; tất nhiên, điều kiện tiên quyết là họ thực sự muốn làm
Ngay cả một cửa hàng như Valve, miễn là không trực tiếp lưu số thẻ ở mức SAQ-D thì với các loại SAQ-A đến SAQ-C, đa số doanh nghiệp thương mại điện tử đều có thể đáp ứng ổn
Nhìn chung tôi khá phê phán tiền mã hóa, nhưng trong trường hợp này thì nó có thể có ý nghĩa như một phương thức thanh toán thay thế; vấn đề là khâu đổi sang tiền pháp định sau thanh toán
Thực ra đó không phải vấn đề duy nhất; Steam từng hỗ trợ thanh toán bằng Bitcoin nhưng đã dừng từ năm 2017; khi đó Gabe Newell nói rằng có tới một nửa giao dịch thanh toán bằng tiền mã hóa là gian lận, và họ cũng thu hút nhiều loại khách hàng không mong muốn nên phát sinh nhiều vấn đề liên kết
Nếu tiền ảo thật sự tốt thì thực ra đã có thẻ ví Steam (gift card), nên có lẽ nó cũng không phải phương án thay thế quá đặc biệt
Tôi nghĩ lời giải cho vấn đề này là một quy định đơn giản, ví dụ: “Tổ chức tài chính và nhà cung cấp dịch vụ không được tùy tiện cản trở, phong tỏa hoặc từ chối các giao dịch hợp pháp đã được các bên đồng thuận”; ở Mỹ có thể sẽ phát sinh kiện tụng vì vấn đề tự do biểu đạt của doanh nghiệp (mà tôi cho rằng doanh nghiệp không nên có quyền tự do biểu đạt), nhưng ở các nước khác thì chỉ riêng biện pháp này cũng có thể giúp thị trường thoát khỏi định kiến của một số ít giám đốc và sự né rủi ro quá mức; nếu một ngành cụ thể nào đó (ví dụ nội dung người lớn) có tỷ lệ chargeback cao, thì nên làm rõ trách nhiệm bằng cách chỉ cho phép chargeback khi người tiêu dùng chứng minh bằng chứng nghiêm ngặt hơn
Nhưng chính phủ Mỹ trong nhiều trường hợp lại làm điều ngược lại bằng quy định; ví dụ đã từng có luật liên bang theo hướng ngăn chặn thanh toán cho cờ bạc trên Internet và các hoạt động tương tự liên kết
Hai lý do chính khiến doanh nghiệp hạn chế thanh toán là rủi ro chargeback cao và rủi ro danh tiếng; những ngành kiểu này chỉ nên được xử lý ở nơi có cơ chế quản lý rủi ro và bù đắp phù hợp, chứ không nên đẩy rủi ro sang toàn bộ các đơn vị chấp nhận thẻ
Thay vì chỉ giới hạn ở dịch vụ tài chính, có thể luật hóa tính trung lập dịch vụ cho mọi nhà cung cấp dịch vụ thiết yếu (ví dụ viễn thông, năng lượng và các đơn vị hạ tầng khác), như vậy cũng tránh được vấn đề tự do biểu đạt theo hiến pháp
Vấn đề hiện tại, một cách trớ trêu, lại là do quy định tài chính quá nhiều, đến mức ngân hàng phải soi xét từng khoản sử dụng tiền của cá nhân nên mới sinh ra tình trạng này
Theo tôi cốt lõi là tự xây thẻ riêng thay vì dùng Visa/MasterCard, hoặc tự xây hệ thống thanh toán bằng mã QR kết nối với ngân hàng; vấn đề không nằm ở đơn vị xử lý thanh toán mà nằm ở các hãng thẻ; nếu một công ty lớn như Valve bắt tay với ngân hàng để tạo hệ thống thanh toán QR (ví dụ SteamPay) thì vẫn có khả năng; nếu làm theo mô hình nạp tiền qua ACH thì còn có thể hỗ trợ chống gian lận; dĩ nhiên sẽ tốn kém, nhưng vẫn thực tế hơn là xây hẳn một PayFac
Một cuộc thảo luận khá giống như vậy cũng diễn ra cách đây một tháng, và khi đó người ta đã chỉ ra rằng việc xây một mạng lưới “mới” ở cấp độ Visa là không thực tế liên kết
Nhưng trên thực tế, xác suất để các ngân hàng từ bỏ Visa/MasterCard và chọn một nhà cung cấp thẻ/thanh toán hoàn toàn mới là gần như bằng không; chỉ cần phía hãng thẻ thêm một dòng cấm dùng thanh toán của bên thứ ba vào điều khoản giao dịch là mọi thứ sẽ bị vô hiệu ngay; thực tế là các ngân hàng hiện tại không có động lực để đưa vào giải pháp thay thế
Với kinh nghiệm từng tự xây PayFac, tôi thấy đến năm 2025 thì chuyện này không còn quá khó hay quá phức tạp, nhưng tôi đồng ý rằng kể cả Valve có làm thì cũng không phải lời giải thực chất; với các ngành bị đánh giá rủi ro cao, quyết định nằm ở đơn vị xử lý thanh toán và thường chẳng có chỗ để bàn cãi; ví dụ như từng có trường hợp toàn bộ Puerto Rico bị coi là “rủi ro” nên giao dịch hoàn toàn không thể thực hiện
Chia sẻ trải nghiệm cá nhân: tôi từng vận hành một website tạo mô hình Stable Diffusion bằng Stripe, nhưng sau 9 tháng thì tài khoản bị khóa và còn bị phạt 4.000 USD; tôi thậm chí còn nhận được cảnh báo tự động; trong thời gian dùng Stripe, tỷ lệ chargeback chỉ ở mức 2–3%, khá bình thường; nhưng khi chuyển sang Coinbase Commerce thì doanh thu rơi từ 5.000 USD xuống còn 1.000 USD
Theo tôi cốt lõi của vấn đề này là một mạng lưới phức tạp của niềm tin xã hội và chia sẻ rủi ro ở cấp cấu trúc; cá nhân hay công nghệ riêng lẻ rất khó thay đổi được, và dù có thể dần dần đổi khác qua nhiều thế hệ thì vẫn sẽ cần một động lực thay đổi cực lớn