Hvordan fungerer digital betaling

June 22, 2022
Har du noen gang lurt på hva som skjer under panseret når du betaler for ting på nett? I denne artikkelen skal vi ta en titt bak kulissene for kortbetalinger, dens ulemper, fremtiden og litt historie. Vi starter med å definere en pengetransaksjon, den delen der de faktiske pengene skifter hender.

Alle betalinger koker ned til en transaksjon mellom en kjøper/forbruker og en selger/forhandler. Målet med en transaksjon er å øke mengden penger på selgerens konto, og samtidig redusere beløpet på forbrukerens konto. Det virker enkelt, men når det kommer til nettbaserte transaksjoner, viser det seg å være et grunnleggende vanskelig problem. 

Det er vanskelig av to grunner:

  1. Transaksjonen må kommuniseres over et nettverk. Dette er faktisk et fysisk umulig problem å løse generelt (se problemet med de to generalene https://en.wikipedia.org/­wiki/Two_Generals%27_Problem). I praksis er det flere løsninger, som vi skal se.
  2. Transaksjonen gjøres mellom to parter som ikke nødvendigvis kan stole på hverandre. I de fleste betalingsordninger er løsningen på dette å involvere en slags tredjepart som begge parter kan stole på.

Risikoen introdusert av disse problemene er at et forsøk på transaksjon ender opp i en ufullstendig tilstand, hvor for eksempel selgeren tror den har mottatt penger, men ikke har fått det. Alle gode betalingsordninger har forseggjorte mekanismer som sikrer at dette aldri vil skje i praksis.

Sidenotat om kryptovalutaer
Vi vil ikke gå inn på kryptovalutaer i denne artikkelen, men det er verdt å merke seg at de også tilbyr løsninger på problemene nevnt ovenfor. I bitcoin for eksempel, er en distribuert hovedbok med et proof-of-work-system det som gir tillit til en transaksjon. Men selv i dette systemet koker det ned til tillit til selve systemet og dets deltakere.

Kortbetalinger

Det finnes veldig mange forskjellige betalingssystemer der ute, men de fleste av dem bruker en eller annen form for kortbetaling under panseret, eller i det minste bruker et slags clearingsystem (ett unntak er kryptovalutaer). Derfor skal vi se nærmere på hvordan kortbetalinger fungerer.

I hovedsak er et betalingskort bare et tall, en slags API-nøkkel. Kortet er «utstedt» av forbrukerens bank, og derfor kaller vi det en kortutstedende. Kortnummeret gir deg tilgang til en bankkonto i utstedende bank. Hvis det er et debetkort, gir det direkte tilgang til din egen bankkonto. Hvis det er et kredittkort, gir det deg tilgang til andres bankkonto, sammen med et løfte om at du vil betale dem tilbake i fremtiden.

Et betalingskort kan ofte være co-branded slik at det fungerer med flere typer kortmerker/nettverk. For nettbetalinger er det mest sannsynlig Visa/Master Card-nettverk som brukes, men for betaling i butikk er det vanligvis mer variasjon. I Norge håndterer for eksempel BankAxept nesten alle betalinger i butikk. Et typisk norsk debetkort støtter både Visa og BankAxept.

En typisk korttransaksjon 

bilde av en typisk korttransaksjon
En typisk korttransaksjon 

Autorisasjon

Etter at en forbruker har fått utstedt et betalingskort av den utstedende banken, hva skjer egentlig når de legger inn kortnummeret på i en nettbutikk? I motsetning til OAuth (OAuth (p.t. i versjon 2) er en standard som fasiliterer tilgang til informasjon i andre applikasjoner uten å måtte dele påloggingsdetaljer), er kortbetalinger faktisk ganske enkle. Kortnummeret sendes ganske enkelt til forretningens bank, også kalt innløserbanken. Det ligner på å gi noen passordet til bankkontoen din, og stole på at de foretar riktig uttak (mer om sikkerhet implikasjonene av dette senere).

Ved å se på de første sifrene i kortnummeret, kan innløseren trekke ut det som kalles et bankidentifikasjonsnummer (BIN). Dette nummeret identifiserer både kortnettverket og den utstedende banken. Den innløsende banken bruker deretter denne informasjonen til å videresende forespørselen til det tilsvarende kortnettverket (f.eks. Visa), som igjen videresender forespørselen til den utstedende banken. Her blir forespørselen akseptert eller avslått, for eksempel hvis bankkontoen ikke har nok penger på den. Hvis den første forespørselen godtas, er betalingen autorisert.

Betalingsautorisasjonssvaret returneres til selgeren gjennom kortnettverket og innløserbanken. Hvis autorisasjonen er vellykket, vet selgeren at betalingen er gyldig, og kan sende de kjøpte varene. Den overtakende banken, kortnettverket og utstederen er også nå informert om den ventende transaksjonen, og de er alle enige om at den virker gyldig.

Merk at på dette tidspunktet har ingen penger skiftet hender. For at det skal skje, må selgeren sette i gang en capture-kall (capture request).

Hva er “capture”?

Gitt en vellykket autorisert betaling, kan selgeren be om en "capture" av betalingen (altså trekke penger). Capture-kallet sendes til forhandlerens innløsende bank, som legger inn betalingsdataene i en liste over betalinger som skal klareres. For å forstå klarering kan det være nyttig å se på historien til systemet, som på dette tidspunktet er over 200 år gammelt. Det startet i Storbritannia, ganske enkelt ved at bankrepresentanter møttes på et gatehjørne eller på en pub. De ville ta med sjekker og postanvisninger, samle dem opp og gjøre opp i kontanter. Her er en fortelling om hvordan klarerings-systemet startet i Norge på 1800-tallet:

Representanter for deltakerbankene møtte på oppgjørssentralen med ferdigsorterte sjekker og krav i pakker for hver deltakerbank som var trukket på, og byttet deretter inn pakkene mot en oppgave over de respektive beløpene. Disse beløpene ble overført til en konto i Norges Bank, og hver bank fikk deretter det endelige resultatet av dagens avregning. Nettofordringer ble kreditert respektive banks konto i Norges Bank, mens gjeld ble belastet.

Kilde: «Klarering og oppgjør i Norges Bank - en historisk gjennomgang» av Harald Haare

Hovedformålet med systemet var, og er fortsatt, å ha en tredjepart som både innløser og utsteder kan stole på. Det reduserer effektivt antallet enheter en bank må kommunisere med. I tillegg til dette systemet samle opp flere transaksjoner til kun et par større transaksjoner, noe som gjør oppgjøret enklere.

Selvfølgelig er det moderne capture-systemet litt mer sofistikert enn å møtes på en pub. Det som skjer i dag er helautomatisert, og begynner med at klarerings-systemet (f.eks. Visa) spør hver enkelt medlemsbank for ventende transaksjoner. Innløseren vil gjøre de registrerte transaksjonene tilgjengelige under en slik capture-forespørsel. Etter at klarerings-systemet er ferdig med å spørre alle medlemsbankene, avstemmer og grupperer det alle betalingene for den perioden, ett parti per medlemsbank. Medlemsbankene får hver sin fil med en liste over alle klarerte eller omstridte transaksjoner for perioden. De registrerte transaksjonene er nå klare til å gjøres opp.

Oppgjør

Alt frem til dette punktet har nettopp vært forberedelser for å sette opp en legitim pengetransaksjon. Vi har autorisert betalingen og sørget for at kortet er gyldig, og at det finnes en utstedende bank med et løfte om å betale. Da lovte merchant å levere varene, og ba om at pengene ble captured. Klarerings-systemet avstemte deretter informasjonen det fikk i autorisasjonen med innløsers forespørsel om klarering. Den varslet også den utstedende banken om den ventende transaksjonen.

I begynnelsen av artikkelen la vi merke til at det er to utfordringer når du utfører pengetransaksjoner: tillit og pålitelig kommunikasjon. Vi kan si at alt til nå har handlet om å etablere tillit, men hva med kommunikasjon? Interessant nok er den endelige overføringen av penger ikke så fordelt. Hver medlemsbank skal ha en konto i oppgjørssystemet. Basert på klarerings-data vil oppgjørssystemet overføre penger inn og ut av medlemsbankens konto i oppgjørsbanken. Med andre ord, den faktiske pengetransaksjonen skjer utelukkende innenfor én bank. Når det gjelder Norwegian BankAxept, er banken som brukes for oppgjør den norske sentralbanken (Norges Bank). For kortnettverkene (f.eks. Visa) samarbeider de med et lite antall banker for dette formålet.

Det siste trinnet

Når transaksjonen gjøres opp gjennom oppgjørssystemet, er transaksjonen fullført. I hvert fall i den forstand at den utstedende banken har overført penger til den overtakende banken. Pengene er imidlertid fortsatt ikke i hendene på kjøpmannen. For at dette skal skje, må erverver først merke seg at oppgjørsbankkontoen inneholder den utlignede transaksjonen. Da vil det vanligvis vente en dag eller to før du krediterer selgerens konto. Årsaken til dette er at transaksjonen senere kan bli bestridt av forbrukeren (f.eks. returer). For å redusere risikoen holder erververen tilbake pengene en stund. For merchant betyr dette at det kan ta et par dager før pengene faktisk kommer inn på bankkontoen deres.

Sikker betaling

Du har kanskje lagt merke til at kortbetalinger som beskrevet har noen sikkerhetsproblemer. Det hele koker ned til dette: Kortnummeret er nøkkelen til riket, for å si det sånn. Den er skrevet i klartekst på et fysisk kort, og den sendes videre til tilfeldige selgere over hele nettet. Og, for å gjøre det verre, er det faktisk selgeren som utfører betalingen ved å bruke legitimasjon gitt til den av forbrukeren. Sammenlign dette med OAuth (f.eks. pålogging med google/facebook), der brukeren logger direkte på en tjeneste den stoler på, og gir begrenset tilgang til en tredjepart. Med det nye PSD2-direktivet i EU, kan denne typen oauth-flyt brukes til betalinger i fremtiden. I mellomtiden, la oss undersøke sikkerhetsmekanismene for kortbetalinger.

Sikkerhetskoder

Selv om systemet som håndterer kortnumrene er sikkert, sitter vi fortsatt igjen med problemet at et kortnummer lett kan bli stjålet. Av denne grunn har vi sikkerhetskoden på baksiden av kortet. Det pleide å være to slike sikkerhetskoder. Den første ble samlet inn i fysiske butikker, ved hjelp av magnetstripe, for å bevise at selgeren ble presentert for kortet (kortpresenterte transaksjoner), men er nå mer eller mindre erstattet med brikke og PIN-kode. Den andre, og brukes ved utbetalinger for å bevise at forbrukeren er i besittelse av kortet (kort-ikke-tilstede-transaksjoner). Grunnen til at dette kan betraktes som et bevis er at ingen har lov av PCI-DSS til å lagre sikkerhetskoden utover autorisasjonen av en transaksjon. Selvfølgelig er det fortsatt mulig å stjele hele kortet.

3D secure

Siden det er mulig å stjele kort, hjelper det til syvende og sist lite å ha et sikkert betalingssystem eller sikkerhetskoder. Det er derfor blitt obligatorisk i EU å utføre 3D-secure også (faktisk er det obligatorisk å utføre SCA - "sterk kunde autentisering", men i praksis betyr dette 3D-secure). 3D secure står for 3 domener secure, som betyr innløser, nettverk og utsteder. Hovedmålet med 3D Secure er å autentisere forbrukeren, men det lar også forbrukeren sørge for at riktig beløp er autorisert.

3D secure autentiseringsforespørselen sendes gjennom nettverket ved å bruke de samme ruting mekanismene som for en transaksjonsautorisasjon. Det ender opp hos utstederen, som deretter kan sette i gang sin egen foretrukne autentiseringsmekanisme. I Norge vil dette vanligvis være BankID-autentisering. Når brukeren er autentisert, er det høyst sannsynlig at betalingen er legitim. Ulempen er selvfølgelig at 3D secure er tidkrevende og irriterende. Derfor er det ulike snarveier og unntak for transaksjoner med lav risiko (lavt beløp, bruker samme nettleser som sist, osv.). Faktisk ble det gjort flere nye snarveier og forbedringer av brukeropplevelsen i 3D secure versjon 2 som svar på EU-mandatet.

Det er interessant å merke seg at 3D secure effektivt oppnår det OAuth også ville ha oppnådd. Forbrukeren tar tilbake kontroll over betalingen, og å miste et kortnummer er ikke så ille lenger. Så gitt denne ekstra sikkerheten, hvorfor kvitter vi oss ikke med sikkerhetskoder eller PCI-overholdelse for den saks skyld? Dette er sannsynligvis delvis på grunn av historisk treghet, men enda viktigere, det er fordi det sikre 3D-mandatet kun er for EU. Det blir spennende å se hva fremtiden bringer her.

Fremtiden

Selv om kortbetaling fortsatt er ledende, blir det stadig mer vanlig å bruke ulike mobile betalingssystemer også. Mange av disse er fortsatt støttet av kort under panseret. For eksempel er Google Pay og Apple Pay støttet av tokeniserte betalingskort.

Imidlertid har mange nasjonale ordninger for mobilbetaling dukket opp de siste årene, og de støttes ofte av nasjonale betalingssystemer. For eksempel har vi i Norge Vipps, som er støttet av alle norske banker (selv om kommersielle betalinger i Vipps fortsatt er kortbaserte). I 2021 fusjonerte Vipps med norske BankAxept og BankID, danske MobilePay og Finish Pivo.

I tillegg har lignende mobilbetalingsløsninger fra hele Europa startet samarbeid om interoperabilitet gjennom European Mobile Payment System Association (EMPSA). På toppen av dette gir det ganske ferske PSD2-direktivet fra EU mandat til åpne bank-API'er for å øke konkurransen. Vi kan ikke se fremtiden, men det er nok rimelig å si at vi ikke har sett den endelige formen for betalingssystemer ennå.