Í gær birtist færsla á Facebook sem hefur vakið mikla athygli, núna 21 klst seinna er hefur færslan fengið rúmlega 400 deilingar og rúmlega 1.000 önnur viðbrögð (like o.s.frv.). Í stuttu máli þá kaupir einstaklingur eldsneyti af sjálfafgreiðsludælu fyrir 5.000 krónur en á debitkort viðkomandi er skuldfært 25.000 + 5.000 krónur.
Er N1 virkilega að geyma fjárhæðina sem “tekin er frá” við heimildarleit og græða á henni í formi vaxta?
Eðlilega vekur svona færsla viðbrögð og vegna þessa langaði okkur að skoða tæknilega hlutan á því hvernig svona heimildarleit og færsla fer fram þar sem miðlar eins og MBL virðist bara birta frétt sem byggð er á færslunni af Facebook án þess að skoða málið frekar.
Smá bakgrunnur um kortafærslur.
Við hefðbundna kortafærslu eru yfirleitt tvö skeyti send, annars vegar heimildarleit sem athugar hvort innistæða sé fyrir upphæð og tekur hana frá og svo greiðsla sem færir peninga yfir til söluaðila. Oftast er þá talað um Auhorization annarsvegar og svo Payment eða Capture hinsvegar. Stundum eru þessi skeyti send á sama tíma en oftast er bara heimildarleitin send og greiðslan svo kláruð síðar, þegar posinn er gerður upp. Þetta er aðallega gert til að stytta tímann sem viðskiptavinurinn þarf að bíða.
Mörg fyrirtæki, eða réttara sagt tegundir fyrirtækja, nota þessi tvö skeyti í öðrum tilgangi líka, eins og bensínstöðvar, bílaleigur, hótel og fleiri. Þau athuga hvort heimild sé fyrir ákveðirni upphæð, sem er mismunandi eftir aðstæðum og er hún þá tekinn frá í einhver tíma, sem er líka mismunandi eftir aðstæðum. Svo þegar viðskiptunum er lokið, sem getur verið mínútum eða dögum seinna, þá er greiðsluskeytið sent með endanlegri upphæð og gamla heimildarleitin fellur niður.
Hljómar einfalt, en á bakvið þetta er safn að fyrirtækjum og stofnunum og enn fleiri tölvukerfi.
Tökum bensínlykill sem dæmi.
- Lykillinn hefur auðkennisnúmer, í tölvukerfi hjá olíufélaginu er þetta númer tengt við notanda. Þessi notandi er með skráða greiðsluaðferð í því kerfi sem getur til dæmis verið debetkort, kreditkort eða beingreiðsla af bankareikningi.
- Gefum okkur að það sé debetkort, þá þarf kerfið hjá olíufélaginu að tala við kerfi hjá færsluhirði, sem eru þónokkrir á Íslandi
- Færsluhirðirinn þarf svo að tala við fjölmarga aðila, sem geta verið mismunandi eftir aðstæðum en eru til dæmis:
- Kortafyrirtækin, Visa, Mastercard og svo framvegis
- Útgefanda kortsins, sem er oftast banki korthafans
- Reikningsstofa Bankanna
- Greiðsluveitan
Eins og gefur að skilja þurfa þessi skeyti að fara framm og til baka í gegnum öll þessi fyrirtæki og mögulega nokkur kerfi á hverjum stað og eins og með allt annað gegur alltaf eitthvað komið uppá.
Hérna eru svo látin ótalin öll þau öryggisatriði og dulkóðanir sem gera þetta svo ennþá brothættara og erfiðara að greina villur þar sem kerfin eiga helst að vita sem minnst um upplýsingarnar sem þau eru að senda á milli sín.
Í þessu dæmi.
Eldsneyti er keypt á sjálfafgreiðsludælu með debitkorti þá ágæt að hafa eftirfarandi í huga..
* Heimildarfærsla sem þessi er eðlileg, fyrirtæki þurfa að vita hvort viðskiptavinur eigi fyrir því sem kaupa á enda fær viðskiptavinur vöruna afhent áður en eiginleg greiðsla fer fram. Kemur kannski hvergi skýrt fram þegar dæling á sér stað en ætti svo sem að vera augljóst ef málið er hugsað til enda.
* N1 millifærir ekki penning á eigin reikning við heimildarleit, það er einfaldlega ekki hægt. Bankinn færir viðkomandi upphæð á biðreikning hjá sér og þar bíður hún þangað til komið er að greiðslu þegar dælingu er lokið.
* Þegar lokaupphæð liggur fyrir (við lok dælingar), þá sendir posi millifærslubeiðni fyrir þeirri upphæð. Bankinn millifærir upphæðina á viðkomandi fyrirtæki og á að fella niður heimildarfærslu.
* Ef það gerist ekki eins og í þessu dæmi þá er það bankans að laga eða hafa milligöngu um það. Mögulega þætti eðlilegt að viðkomandi fyrirtæki hefði milligöngu við úrlausn en það þó hæpið þar sem fyrirtæki hafa enginn áhrif á þessi mál, það hefur hinsvegar viðkomandi viðskiptavinur og bankastofnun hans.
Það mætti reyndar færa rök fyrir því að þessi heimildarupphæð (25.000 krónur hjá N1) sé of há, þar sem flestir einstaklingar kaupi líklega fyrir mun lægri upphæð en það er önnur saga.