Ola Åkesson
Chief Revenue Officer

Hvordan online betalinger fungerer

September 15, 2024
Ola Åkesson
Chief Revenue Officer
Noen gang lurt på hva som skjer under panseret når du betaler for ting på nettet? I denne artikkelen tar vi en titt på bak kulissene med kortbetalinger, ulempene, fremtiden og litt historie. Vi begynner med å definere en monetær transaksjon, den delen der de faktiske pengene skifter hender.

Transaksjoner

Alle betalinger koker ned til en transaksjon mellom en kjøper/forbruker og en selger/forhandler. Målet med en transaksjon er å øke mengden penger på selgerens konto, og samtidig redusere beløpet på forbrukerens konto. Det virker enkelt, men når det gjelder online transaksjoner, viser det seg å være et grunnleggende vanskelig problem. Det er vanskelig av to grunner:

Risikoen ved disse problemene er at en transaksjonsforsøkt havner i en ufullstendig tilstand, der for eksempel selgeren mener at den har mottatt penger, men ikke har gjort det. Alle gode betalingsordninger har utførlige mekanismer som sikrer at dette aldri vil skje i praksis.

Sidemerknad om kryptovalutaer ‍
Vi vil ikke gå inn på kryptovalutaer i denne artikkelen, men det er verdt å merke seg at de også tilbyr løsninger på problemene nevnt ovenfor. I bitcoin er for eksempel en distribuert hovedbok med et proof-of-work-system det som gir tillit til en transaksjon. Men selv i dette systemet koker det ned til tillit til selve systemet og dets deltakere.

Kortbetalinger

Det er en overflod av forskjellige betalingssystemer der ute, men de fleste av dem bruker en form for kortbetaling under panseret, eller bruker i det minste et slags clearingsystem (ett unntak er kryptovalutaer). Derfor vil vi se nærmere på hvordan kortbetalinger fungerer.

I hovedsak er et betalingskort bare et tall, en slags API-nøkkel. Kortet er «utstedt» av forbrukerens bank, og derfor kaller vi det en utstedende bank. Kortnummeret gir deg tilgang til en bankkonto i den utstedende banken. Hvis det er et debetkort, gir det direkte tilgang til din egen bankkonto. Hvis det er et kredittkort, gir det deg tilgang til andres bankkonto, sammen med et løfte om at du vil betale dem tilbake i fremtiden.

Et betalingskort kan ofte sammerkes slik at det fungerer med flere typer kortmerker/nettverk. For online betalinger er det mest sannsynlig Visa/Master-kortnettverkene som brukes, men for betalinger i butikk er det vanligvis mer variasjon. I Norge håndterer BankAxept for eksempel nesten alle betalinger i butikk. Et typisk norsk debetkort støtter både Visa og BankAxept.

En typisk korttransaksjon

 

A chart with an explanation of a card transaction flow

Autorisasjon

Etter at en forbruker har fått utstedt et betalingskort av deres utstedende bank, hva skjer egentlig når de skriver inn kortnummeret på et selgernettsted? I motsetning til moderne tilgangsdelegeringsmekanismer som oauth, er kortbetalinger faktisk ganske enkle. Kortnummeret sendes ganske enkelt til selgerens bank, også kalt overtakende bank. Det ligner på å gi noen passordet til bankkontoen din, og stole på at de gjør riktig uttak (Mer om sikkerhetsimplikasjonene av dette senere).

Ved å se på de første sifrene i kortnummeret, kan overtakeren trekke ut det som kalles et bankidentifikasjonsnummer (BIN). Dette nummeret identifiserer både kortnettverket og utstederbanken. Den overtakende banken bruker deretter denne informasjonen til å videresende forespørselen til det tilsvarende kortnettverket (f.eks. Visa), som i sin tur videresender forespørselen til den utstedende bank. Her blir forespørselen akseptert eller avvist, for eksempel hvis bankkontoen ikke har nok penger i seg. Hvis den første forespørselen blir akseptert, er betalingen autorisert.

Betalingsautorisasjonssvaret returneres til selgeren gjennom kortnettverket og den overtakende banken. Hvis autorisasjonen er vellykket, vet selgeren at betalingen er legitim, og kan sende de kjøpte varene. Den overtakende banken, kortnettverket og utstederen blir også nå informert om den ventende transaksjonen, og de er alle enige om at det virker legitimt.

Merk at på dette tidspunktet har ingen penger skiftet hender. For at det skal skje, må selgeren sette i gang en capture-forespørsel.

Capture og clearing

Gitt en vellykket autorisert betaling, kan selgeren be om en «capture» av betalingen. Capture-forespørselen sendes til forhandlerens overtakende bank, som legger inn betalingsdataene i en liste over betalinger som skal «klareres». For å forstå rydding kan det være nyttig å se på historien til systemet, som på dette tidspunktet er over 200 år gammelt. Det startet i Storbritannia, ganske enkelt ved å la bankrepresentanter møtes på et gatehjørne eller på en pub. De ville ta med sjekker og postanvisninger, runde dem opp, og avregne dem kontant. Her er en redegjørelse for hvordan clearingsystemet startet i Norge på 1800-tallet:

Representanter for de deltakende bankene møttes på clearinghuset med ferdigsorterte sjekker og krav i pakker for hver deltakende bank som var trukket på, og byttet deretter pakkene mot en oversikt over de respektive beløpene. Disse beløpene ble overført til en konto i Norges Bank, og hver bank fikk deretter det endelige resultatet av dagens oppklaring. Netto fordringer ble kreditert den respektive bankens konto i Norges Bank, mens gjeld ble debitert.

Kilde: «Oppklaring og oppgjør i Norges Bank - en historisk gjennomgang» av Harald Haare (lenke)

Hovedformålet med systemet var, og er fortsatt, å ha en tredjepart som både overtaker og utsteder kan stole på. Det reduserer effektivt antall enheter en bank må kommunisere med. I tillegg til dette vil clearingsystemet gruppere transaksjoner til bare et par større transaksjoner, noe som gjør oppgjøret enklere.

Selvfølgelig er det moderne ryddesystemet litt mer sofistikert enn å møte på en pub. Det som skjer i dag er helautomatisert, og begynner med at clearingsystemet (f.eks. Visa) avlyser hver av sine medlemsbanker for ventende transaksjoner. Erververen vil gjøre de trukkede transaksjonene tilgjengelige under en slik avstemningsforespørsel. Etter at clearingsystemet er ferdig med å avhøre alle medlemsbankene, forsoner og grupperer det alle betalingene for den perioden, en batch per medlemsbank. Medlemsbankene får hver en fil med en liste over alle klarerte eller omstridte transaksjoner for perioden. De trukkede transaksjonene er nå klare til å bli bokførte.

Oppgjør

Alt frem til dette punktet har nettopp vært forberedelser for å sette opp en legitim monetær transaksjon. Vi har autorisert betalingen, og sørget for at kortet er legitimt, og at det finnes en utstedende bank med et løfte om å betale. Da lovet kjøpmannen å levere varene, og ba om at pengene skulle trekkes. Clearingsystemet avstemte deretter informasjonen det fikk i autorisasjonen med overtakerens forespørsel om clearing. Den varslet også den utstedende banken om den ventende transaksjonen.

I begynnelsen av artikkelen bemerket vi at det er to utfordringer å overvinne når du gjør monetære transaksjoner: tillit og pålitelig kommunikasjon. Vi kan si at alt frem til dette punktet har handlet om å etablere tillit, men hva med kommunikasjon? Interessant nok er den endelige overføringen av penger ikke så fordelt. Hver medlemsbank må ha en konto i oppgjørssystemet. Basert på clearingdataene vil oppgjørssystemet overføre penger inn og ut av medlemsbankens konto i oppgjørsbanken. Med andre ord skjer den faktiske monetære transaksjonen helt innenfor en bank. Når det gjelder Norwegian BankAxept, er banken som brukes til oppgjør den norske sentralbanken (Norges Bank). For kortnettverkene (f.eks. Visa) samarbeider de med et lite antall banker for dette formålet.

Det siste trinnet

Når transaksjonen er bokført gjennom oppgjørssystemet, er transaksjonen fullført. I det minste i den forstand at den utstedende banken har overført penger til den overtakende banken. Pengene er imidlertid fortsatt ikke i hendene på kjøpmannen. For at dette skal skje, må overtakeren først merke seg at oppgjørsbankkontoen inneholder den avregnede transaksjonen. Da vil det vanligvis vente en dag eller to før du krediterer selgerens konto. Årsaken til dette er at transaksjonen senere kan bestrides av forbrukeren (f.eks. tilbakeføringer). For å redusere risikoen, holder overtakeren pengene tilbake en stund. For selgeren betyr dette at det kan ta et par dager før pengene faktisk kommer inn på bankkontoen deres.

Sikkerhet

Den kloke leseren har kanskje lagt merke til at kortbetalinger som beskrevet har noen sikkerhetsproblemer. Det hele koker ned til dette: Kortnummeret er nøkkelen til riket, så å si. Det er skrevet i klar tekst på et fysisk kort, og det sendes videre til tilfeldige selgere over nettet. Så, for å gjøre det verre, er det faktisk selgeren som utfører betalingen ved hjelp av legitimasjon gitt til den av forbrukeren. Kontrast dette med oauth (f.eks. Logg inn med google/facebook), der brukeren logger seg direkte på en tjeneste den stoler på, og gir begrenset tilgang til noen tredjepart. Med det nye PSD2-direktivet i EU kan denne typen oauth-flyt brukes til betalinger i fremtiden. I mellomtiden, la oss undersøke sikkerhetsmekanismene for kortbetalinger.

Sikkerhetskoder

Selv om systemet som håndterer kortnumrene er sikkert, sitter vi fortsatt igjen med problemet at et kortnummer lett kan bli stjålet. Av denne grunn har vi sikkerhetskoden på baksiden av kortet. Det pleide å være to slike sikkerhetskoder. Den første ble samlet i fysiske butikker, ved hjelp av magnetstripe, for å bevise at kjøpmann ble presentert med kortet (kortpresenttransaksjoner), men er nå mer eller mindre erstattet med chip og PIN. Den andre gjenstår, og brukes i online betalinger for å bevise at forbruker er i besittelse av kortet (transaksjoner uten kort). Grunnen til at dette kan betraktes som et bevis er at ingen av PCI-DSS har lov til å lagre sikkerhetskoden utover autorisasjonen av en transaksjon. Selvfølgelig er det fortsatt mulig å stjele hele kortet.

3D Secure

Siden det er mulig å stjele kort, hjelper det til slutt ikke veldig mye å ha et sikkert betalingssystem eller sikkerhetskoder. Derfor er det nå obligatorisk i EU å utføre 3D secure også (faktisk er det obligatorisk å utføre SCA - «sterk kundeautentisering», men i praksis betyr dette 3D secure). 3D secure står for 3 domener secure, som betyr overtakeren, kortnettverket og utstederen. Det primære målet med 3D secure er å autentisere forbrukeren, men det lar også forbrukeren sørge for at riktig beløp er autorisert.

Den 3D sikre autentiseringsforespørselen sendes gjennom kortnettverket ved hjelp av de samme rutemekanismer som for en transaksjonsautorisasjon. Det havner hos utstederen, som deretter kan sette i gang sin egen foretrukne autentiseringsmekanisme. I Norge vil dette vanligvis være BankID-autentisering. Når brukeren er autentisert, er det høyst sannsynlig at betalingen er legitim. Ulempen er selvfølgelig at 3D secure er tidkrevende og irriterende. Derfor er det forskjellige snarveier og unntak for transaksjoner med lav risiko (lavt beløp, brukeren bruker samme nettleser som forrige gang, etc.). Faktisk ble det gjort flere nye snarveier og forbedringer av brukeropplevelsen i 3D secure versjon 2 som svar på EU-mandatet.

Det er interessant å merke seg at 3D secure effektivt oppnår det oauth også ville ha oppnådd. Forbrukeren har tilbake kontrollen over betalingen, og å miste et kortnummer er ikke så ille lenger. Så gitt denne ekstra sikkerheten, hvorfor kvitter vi oss ikke bare med sikkerhetskoder, eller PCI-samsvar for den saks skyld? Dette er sannsynligvis delvis på grunn av historisk treghet, men enda viktigere, det er fordi 3D-sikremandatet bare er for EU. Det blir interessant å se hva fremtiden bringer her.

Fremtiden

Selv om kortbetalinger fortsatt er kongen, blir det stadig mer vanlig å bruke forskjellige mobile betalingssystemer også. Mange av disse støttes fortsatt av kort under panseret. For eksempel støttes Google Pay og Apple Pay av tokeniserte betalingskort.

Imidlertid har mange nasjonale mobilbetalingsordninger dukket opp de siste årene, og de støttes ofte av nasjonale betalingssystemer. I Norge har vi for eksempel Vipps, som støttes av alle norske banker (selv om kommersielle betalinger i Vipps fortsatt er kortbaserte). I 2021 fusjonerte Vipps med norske BankAxept og BankID, danske MobilePay og Finish Pivo.

I tillegg har lignende mobile betalingsløsninger fra hele Europa begynt å samarbeide om interoperabilitet gjennom European Mobile Payment System Association (EMPSA). På toppen av dette mandater det ganske nylige PSD2-direktivet fra EU åpne bank-API-er for å øke konkurransen. Vi kan ikke se fremtiden, men det er sannsynligvis rettferdig å si at vi ikke har sett den endelige formen for betalingssystemer helt ennå.