Hur onlinebetalningar fungerar

Har du någonsin undrat vad som händer under huven när du betalar för saker online? I den här artikeln tar vi en titt på bakom kulisserna för kortbetalningar, dess nackdelar, framtiden och lite historia. Vi börjar med att definiera en monetär transaktion, den del där de faktiska pengarna byter ägare.

Transaktioner

Alla betalningar kokar ner till en transaktion mellan en köpare/konsument och en säljare/handlare. Målet med en transaktion är att öka mängden pengar på säljarens konto och samtidigt minska beloppet på konsumentens konto. Det verkar enkelt, men när det gäller onlinetransaktioner visar det sig vara ett fundamentalt svårt problem. Det är svårt av två skäl:

Risken med dessa frågor är att ett försök till transaktion hamnar i ett ofullständigt tillstånd, där till exempel handlaren tror att den har fått pengar, men inte har gjort det. Alla bra betalningssystem har utarbetade mekanismer som säkerställer att detta aldrig kommer att hända i praktiken.

Sidanmärkning om kryptovalutor ‍

Vi kommer inte att gå in på kryptovalutor i den här artikeln, men det är värt att notera att de också erbjuder lösningar på problemen som nämns ovan. I bitcoin till exempel är en distribuerad huvudbok med ett proof-of-work-system det som ger förtroende för en transaktion. Men även i detta system kokar det ner till förtroende för själva systemet och dess deltagare.

Kortbetalningar

Det finns ett överflöd av olika betalningssystem där ute, men de flesta använder någon form av kortbetalning under huven, eller åtminstone använder någon form av clearingsystem (ett undantag är kryptovalutor). Därför ska vi titta närmare på hur kortbetalningar fungerar.

I huvudsak är ett betalkort bara ett nummer, en API-nyckel av olika slag. Kortet ”utfärdas” av konsumentens bank, varför vi kallar det en utfärdande bank. Kortnumret ger dig tillgång till ett bankkonto i den utfärdande banken. Om det är ett betalkort ger det direkt tillgång till ditt eget bankkonto. Om det är ett kreditkort ger det dig tillgång till någon annans bankkonto, tillsammans med ett löfte om att du kommer att betala tillbaka dem i framtiden.

Ett betalkort kan ofta sammärkas så att det fungerar med flera typer av kortmärken/nätverk. För onlinebetalningar är det troligtvis Visa /Master-kortnätverk som används, men för betalningar i butik finns det vanligtvis mer variation. I Norge, till exempel, hanterar BankAxept nästan alla betalningar i butik. Ett typiskt norskt betalkort stöder både Visa och BankAxept.

En typisk korttransaktion

Auktorisation

När en konsument har fått ett betalkort av sin utfärdande bank, vad händer egentligen när de anger kortnumret på en handelswebbplats? Till skillnad från moderna tillträdesdelegeringsmekanismer som oauth är kortbetalningar faktiskt ganska enkla. Kortnumret skickas helt enkelt till handlarens bank, även kallad förvärvande bank. Det liknar att ge någon lösenordet till ditt bankkonto och lita på att de gör rätt uttag (Mer om säkerhetskonsekvenserna av detta senare).

Genom att titta på de första siffrorna i kortnumret kan förvärvaren extrahera det som kallas ett bankidentifieringsnummer (BIN). Detta nummer identifierar både kortnätverket och den utfärdande banken. Den förvärvande banken använder sedan denna information för att vidarebefordra begäran till motsvarande kortnätverk (t.ex. Visa), som i sin tur vidarebefordrar begäran till den utfärdande banken. Här accepteras eller avvisas begäran, till exempel om bankkontot inte har tillräckligt med pengar i det. Om den ursprungliga begäran accepteras har betalningen godkänts.

Betalningsautoriseringssvaret returneras till handlaren via kortnätverket och den förvärvande banken. Om auktorisationen lyckas vet handlaren att betalningen är legitim och kan skicka de köpta varorna. Den förvärvande banken, kortnätverket och emittenten informeras nu också om den pågående transaktionen, och de är alla överens om att det verkar legitimt.

Observera att vid denna tidpunkt har inga pengar bytt ägare. För att det ska hända måste handlaren initiera en capture-begäran.

Capture och clearing

Med en godkänd betalning kan säljaren begära en ”capture” av betalningen. Insamlingsbegäran skickas till handlarens förvärvande bank, som matar in betalningsuppgifterna i en lista över betalningar som ska ”rensas”. För att förstå rensning kan det vara till hjälp att titta på systemets historia, som vid denna tidpunkt är över 200 år gammalt. Det började i Storbritannien, helt enkelt genom att låta bankrepresentanter träffas på ett gathörn eller på en pub. De skulle ta med checkar och postanvisningar, runda upp dem och lösa dem kontant. Här är en redogörelse för hur clearingsystemet började i Norge på 1800-talet:‍

Representanter för de deltagande bankerna träffades vid clearinghuset med färdigsorterade checkar och fordringar i paket för varje deltagande bank som hade dragits på, och bytte sedan ut paketen mot en redovisning av respektive belopp. Dessa belopp överfördes till ett konto i Norges Bank och varje bank fick sedan slutresultatet av dagens clearing. Nettofordringar krediterades respektive banks konto hos Norges Bank, medan skulder debiterades.‍

Källa: ”Clearing och avveckling i Norges Bank - en historisk översyn” av Harald Haare (Länk)

Huvudsyftet med systemet var, och är fortfarande, att ha en tredje part som både förvärvaren och emittenten kan lita på. Det minskar effektivt antalet enheter som en bank måste kommunicera med. Utöver detta kommer clearingsystemet att gruppera transaktioner till bara ett par större transaktioner, vilket underlättar avvecklingen.

Naturligtvis är det moderna clearingsystemet lite mer sofistikerat än att träffas på en pub. Det som händer nuförtiden är helt automatiserat och börjar med att clearingsystemet (t.ex. Visa) frågar var och en av sina medlemsbanker för pågående transaktioner. Förvärvaren kommer att göra de dragne transaktionerna tillgängliga under en sådan omröstningsbegäran. Efter att clearingsystemet är klart med omröstning av alla dess medlemsbanker, förenar och grupperar det alla betalningar för den perioden, en sats per medlemsbank. Medlemsbankerna får var och en en fil med en lista över alla rensade eller omtvistade transaktioner för perioden. De dragne transaktionerna är nu redo att regleras.

Uppgör

Allt fram till denna punkt har bara varit förberedelser för att inrätta en legitim monetär transaktion. Vi har godkänt betalningen, säkerställt att kortet är legitimt och att det finns en utfärdande bank med ett löfte om att betala. Då lovade köpmannen att leverera varorna och bad om att pengarna skulle drages. Clearingsystemet förenade sedan informationen som det fick i auktorisationen med förvärvarens begäran om clearing. Den meddelade också den utfärdande banken om den pågående transaktionen.

I början av artikeln noterade vi att det finns två utmaningar att övervinna när man gör monetära transaktioner: förtroende och pålitlig kommunikation. Vi kan säga att allt fram till denna punkt har handlat om att skapa förtroende, men hur är det med kommunikation? Intressant är att den slutliga överföringen av pengar inte är så fördelad. Varje medlemsbank måste ha ett konto i avvecklingssystemet. Baserat på clearinguppgifterna kommer avvecklingssystemet att överföra pengar in och ut från medlemsbankens konto i avvecklingsbanken. Med andra ord sker den faktiska monetära transaktionen helt inom en bank. När det gäller Norwegian BankAxept är den bank som används för avveckling den norska centralbanken (Norges Bank). För kortnäten (t.ex. Visa) samarbetar de med ett litet antal banker för detta ändamål.

Det sista steget

När transaktionen avvecklas via avvecklingssystemet är transaktionen klar. Åtminstone i den meningen att den utfärdande banken har överfört pengar till den förvärvande banken. Pengarna är dock fortfarande inte i händerna på köpmannen. För att detta ska ske måste förvärvaren först notera att avvecklingsbankkontot innehåller den avvecklade transaktionen. Då väntar det vanligtvis en dag eller två innan du krediterar säljarens konto. Anledningen till detta är att transaktionen senare kan ifrågasättas av konsumenten (t.ex. återkrav). För att minska risken håller förvärvaren tillbaka pengarna ett tag. För köpmannen betyder det att det kan ta ett par dagar innan pengarna faktiskt kommer in på deras bankkonto.

Säkerhet

Den kloka läsaren kanske har märkt att kortbetalningar som beskrivs har vissa säkerhetsproblem. Allt kokar ner till detta: Kortnumret är nyckeln till kungariket, så att säga. Det är skrivet i klar text på ett fysiskt kort, och det skickas vidare till slumpmässiga handlare över hela webben. För att göra det värre är det faktiskt säljaren som utför betalningen med hjälp av referenser som konsumenten har gett den. Jämför detta med oauth (t.ex. logga in med google/facebook), där användaren loggar in direkt på en tjänst som den litar på, och ger begränsad åtkomst till någon tredje part. Med det nya PSD2-direktivet i EU kan denna typ av oauth-flöde användas för betalningar i framtiden. Låt oss under tiden undersöka säkerhetsmekanismerna för kortbetalningar.

Säkerhetskoder

Även om systemet som hanterar kortnumren är säkert, står vi fortfarande kvar med problemet att ett kortnummer lätt kan stjälas. Av denna anledning har vi säkerhetskoden på baksidan av kortet. Det brukade finnas två sådana säkerhetskoder. Den första samlades in i fysiska butiker, med hjälp av magnetband, för att bevisa att handlare presenterades med kortet (kortpresenttransaktioner), men ersätts nu mer eller mindre med chip och PIN-kod. Den andra kvarstår, och används i onlinebetalningar för att bevisa att konsument är i besittning av kortet (transaktioner utan kort). Anledningen till att detta kan betraktas som ett bevis är att ingen tillåts av PCI-DSS att någonsin lagra säkerhetskoden utöver auktoriseringen av en transaktion. Naturligtvis är det fortfarande möjligt att stjäla hela kortet.

3D secure

Eftersom det är möjligt att stjäla kort hjälper det i slutändan inte så mycket att ha ett säkert betalningssystem eller säkerhetskoder. Därför är det nu obligatoriskt i EU att utföra 3D secure också (faktiskt är det obligatoriskt att utföra SCA - ”stark kundautentisering”, men i praktiken betyder det 3D secure). 3D secure står för 3 domäner säkra, vilket betyder förvärvaren, kortnätverket och emittenten. Det primära målet med 3D secure är att autentisera konsumenten, men det låter också konsumenten se till att rätt belopp är godkänt.

Den säkra 3D-autentiseringsbegäran skickas via kortnätverket med samma routningsmekanismer som för en transaktionsautorisering. Det hamnar hos emittenten, som sedan kan initiera sin egen föredragna autentiseringsmekanism. I Norge är detta vanligtvis BankID-autentisering. När användaren är autentiserad är det mycket troligt att betalningen är legitim. Nackdelen är naturligtvis att 3D secure är tidskrävande och irriterande. Därför finns det olika genvägar och undantag för transaktioner med låg risk (lågt belopp, användaren använder samma webbläsare som förra gången etc.). Faktum är att flera nya genvägar och förbättringar av användarupplevelsen gjordes i 3D secure version 2 som svar på EU-mandatet.

Det är intressant att notera att 3D secure effektivt uppnår vad oauth också skulle ha uppnått. Konsumenten har tillbaka kontrollen över betalningen, och att förlora ett kortnummer är inte så illa längre. Så med tanke på denna extra säkerhet, varför blir vi inte bara av med säkerhetskoder eller PCI-överensstämmelse för den delen? Detta beror förmodligen delvis på historisk tröghet, men ännu viktigare, det beror på att 3D-säkerhetsmandatet endast är för EU. Det ska bli intressant att se vad framtiden innebär här.

Framtiden

Även om kortbetalningar fortfarande är kungen blir det allt vanligare att använda olika mobila betalningssystem också. Många av dessa stöds fortfarande av kort under huven. Till exempel stöds Google Pay och Apple Pay av tokeniserade betalkort.

Många nationella mobilbetalningssystem har dock dykt upp under de senaste åren, och dessa stöds ofta av nationella betalningssystem. I Norge har vi till exempel Vipps, som stöds av alla norska banker (även om kommersiella betalningar i Vipps fortfarande är kortbaserade). År 2021 slogs Vipps samman med norska BankAxept och BankID, danska MobilePay och Finish Pivo.

Dessutom har liknande mobila betalningslösningar från hela Europa börjat samarbeta om interoperabilitet genom European Mobile Payment System Association (EMPSA). Utöver detta kräver det ganska nya PSD2-direktivet från EU öppna bank-API:er för att öka konkurrensen. Vi kan inte se framtiden, men det är nog rättvist att säga att vi inte har sett den slutliga formen av betalningssystem ännu.