yoel caspersen blog bloghoved

Case study: Når betalingerne afvises

I dag skal vi se nærmere på et besynderligt problem med kortbetaling, som vi hos Kviknet har oplevet siden udgangen af oktober.

En lille gruppe på lidt over 80 kunder har et Visa eller MasterCard, som vi nu på 3. uge ikke kan hæve penge på - og det er ikke fordi, de pågældende kunder ikke har penge på kontoen.

Det hele starter med en transaktion

Når en kunde tilmelder sit betalingskort på vores selvbetjeningsside Mit Kviknet, viderestilles kundens browser til vores betalingsgateway hos OnPay, hvor kortnummer, udløbsdato og kontrolcifre indtastes.

Herefter følger et trin, hvor kundens banks kortudsteder (issuer) gennemfører en 2-factor authentication af kunden, også kendt som 3-D Secure - typisk et popup-vindue, hvor der skal indtastes en engangskode, der er sendt pr. SMS til kunden.

Herefter sender OnPay forespørgslen videre til indløseren, som i vores tilfælde enten er Nets (ved Dankort) eller Clearhaus (ved Visa og MasterCard).

Indløseren sender kortoplysningerne videre til kortudstederen, som svarer tilbage, om transaktionen er godkendt eller ej.

Herefter sender indløseren svaret tilbage til OnPay, som i sidste ende sender svaret tilbage til Mit Kviknet.

Når vi efterfølgende skal hæve penge på kundens kort, kalder vi en funktion i OnPays API, der udløser en reservation (authorization) af det beløb, vi gerne vil hæve. OnPay kalder indløser, som kalder kortudstederen - og svaret kommer tilbage til OnPay og dermed til os.

Næste trin, hvis reservationen gik godt, er at hæve de penge, der blev reserveret (capture). Det foregår på præcis samme måde, vi kalder OnPays API, OnPay kalder indløser, som kalder kortudsteder.

Herefter lander pengene hos indløser, som sender dem videre til os.

Skift af indløser

Hos Kviknet har vi anvendt forskellige indløsere gennem tiden. Dankort kan desværre kun indløses hos Nets, men Visa og MasterCard findes der efterhånden en lille håndfuld indløsere til.

Vi startede med at indløse Visa og MasterCard hos Nets, men skiftede dem ud med islandske Valitor, da Nets bed den hånd, der fodrede dem.

Efter et par gode år hos Valitor, hvor Nets var ude i kulden, skiftede vi tilbage til Nets i juli 2019.

I oktober 2019 skiftede vi så indløser af Visa og MasterCard til Nets' konkurrent Clearhaus.

Clearhaus er et frisk pust på et ellers tungt og støvet marked - deres onboarding-proces er simpel og overskuelig, og deres support svarer hurtigt.

Selve skiftet af indløser fra Nets til Clearhaus foregik med hjælp fra OnPay - de skulle rette i de eksisterende abonnementstilmeldinger i vores betalingsgateway, så de blev sendt til Clearhaus i stedet for Nets.

I store træk er skiftet af indløser gået uden problemer - men der var dog en række betalinger, som ikke gik igennem som de skulle. Der var tale om følgende fejltyper:

  • Insufficient funds
  • Card lost or stolen
  • Card expired
  • Declined by issuer or card scheme

De to første fejl er desværre helt almindelige. Visa og MasterCard debitkort udstedes ofte af bankerne til folk, der har problemer med økonomien, og som regel ser vi, at der går mellem 3 og 5 dage, før alle kunderne får betalt.

Det er sjældent, vores kunder betaler med stjålne kort, men der er ofte eksempler på kunder, der mister kortet under en bytur og derfor mangler det eller glemmer at tilmelde det nye kort til Mit Kviknet.

Den tredje fejl, Card expired, er lidt speciel. Det viser sig, at man i den tid, vi anvendte Valitor som indløser, i visse tilfælde kunne tilmelde et betalingskort med forkert udløbsdato, så længe kortnummeret blot var rigtigt.

Derfor har vi en mindre gruppe kunder, der i vores betalingsgateway står til at have et udløbet kort, selv om det fungerer og lever i bedste velgående. De bliver derfor afvist af Clearhaus - men problemet kan løses ved at kunden tilmelder kortet igen, denne gang med korrekt udløbsdato.

Den sidste fejl, Declined by issuer or card scheme, har voldt os en del problemer.

I bund og grund er det en fejl, der kan oversættes til "Kundens bank afviser transaktionen men vil ikke fortælle hvorfor".

I enkelte tilfælde har problemet kunnet løses ved at kunden tilmelder kortet igen, men i langt de fleste tilfælde gør det ingen forskel.

Vi kan se, det er ca. 80 kunder, der er ramt af problemet, og vi tog derfor kontakt til Clearhaus i starten af denne uge, hvor de forklarede, at vi var nødt til at have fat i den enkelte kundes bank for at få afklaret, hvor problemet lå.

En række stikprøver har vist, at de ramte kunder umiddelbart har det til fælles, at de er kunder hos Jyske Bank, der anvender Nets som kortudsteder. En enkelt kundes account manager hos Jyske Bank oplyste os, at der var tale om et problem med dataudveksling mellem Nets og Visa, og at der blev arbejdet på højtryk på at løse problemet. Det var i tirsdags, dvs. den 12. november.

Clearhaus har også meldt tilbage, at de har kontaktet Jyske Bank og Nets, men at der ikke er kommet nogen afklaring.

Vi kan se, følgende korttyper er omfattet (identificeret ved de første 6 cifre i kortnummeret):

  • 4026 20 (Visa debit, Nordea)
  • 4052 45 (Visa debit, Jyske Bank)
  • 4064 38 (Visa debit, PBS)
  • 5170 10 (MasterCard debit)
  • 5170 11 (MasterCard debit)
  • 5170 14 (MasterCard debit)
  • 5170 23 (MasterCard debit, Teller)
  • 5497 74 (MasterCard debit, Teller)
  • 5573 84 (MasterCard debit)

Korttype og bank er fundet på binlist.net. Da PBS og Teller forlængst er blevet fusioneret ind i Nets, går jeg ud fra, der er tale om forældede oplysninger.

At Nordea også fremgår, kunne måske tyde på, at problemet snarere skal findes hos Nets end hos Jyske Bank.

Desværre er bankverdenen som en uigennemtrængelig mur: Security by obscurity er mantraet, og når vi kontakter Nets, afviser de ethvert kendskab til problemet. Og logikken er også simpel: I denne sammenhæng er vi ikke kunde hos Nets, men hos deres konkurrent, så de har nul incitament til at få løst problemet.

Jeg har nu følgende spørgsmål til læserne:

Kender I til nogen derude, der har oplevet lignende problemer med afviste betalinger det sidste stykke tid?
Hvad er det logiske næste skridt i fejlsøgningen her?

Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Nielsen

Vi kører med QuickPay på min arbejdsplads.

Vi havde på et tidspunkt, at der var nogle MC-Debitkort fra Danske Bank, der blev afvist, selvom kunderne skrev ind (og i flere tilfælde vedhæftede screenshots), at der altså VAR penge på kontoen.

Jeg sad også med en her den anden dag, som var rigtig mystisk (Nordea, Visa-Debit). Vi har vores hovedkortindløser (QuickPay) og en backup (Stripe). Vi prøvede at køre betalingen igennem begge kortindløsere, og hver gang indtastede kunden kortoplysningerne påny. Den blev afvist i begge tilfælde med fejlen "Declined" i vores gatewaylog. Til sidst blev han så frustreret (desværre), at han sendte et billede af kortet. Betalingen gik igennem med det samme, da jeg tastede det gennem backend. Netop denne kunde har haft problemer med betaling før, selvom det bare ligger som et token i vores backend, og selvom der er penge på kontoen. Det strækker sig meget længere tilbage end d. 12. november, for det var samme tid sidste år, at der var problemer med det.

Det er rigtigt lang tid siden, at vi har oplevet nogen med kort fra Danske Bank. Jeg tænker, at der desværre ikke rigtigt er andet at gøre end at vente. Vi er i hvert fald for lille en virksomhed til at tage kontakt til kundernes banker.

Jeg tænker, at det må ligge i koblingen mellem de tokens, som indløseren får fra udstederen, og så koblingen til de rigtige PANs i en eller anden database. Det skulle ikke undre mig, om det er NETS som administrerer tokenization af BIN/PAN numrene i Danmark for visse banker, og at fejlen ligger i en database ved dem.

  • 4
  • 0
Yoel Caspersen Blogger

Jeg tænker, at det må ligge i koblingen mellem de tokens, som indløseren får fra udstederen, og så koblingen til de rigtige PANs i en eller anden database. Det skulle ikke undre mig, om det er NETS som administrerer tokenization af BIN/PAN numrene i Danmark for visse banker, og at fejlen ligger i en database ved dem.

Det lyder plausibelt, at der er en databasefejl hos Nets - men hvordan får man dem til at løse problemet?

I bund og grund er det jo vores kunde, som skal klage til sin bank, som så skal tale med store bogstaver over for Nets, men gæt selv, hvem der bliver taberen i det spil.

Skal man have fat i Finanstilsynet - eller har Nets en "NOC", man kan tage fat i?

Det lugter jo, om ikke af direkte chikane, så i hvert fald af grov negligering af problemer, som tilfældigvis rammer konkurrenterne. Nogle ville kalde det markedsforvridende adfærd.

  • 4
  • 0
Yoel Caspersen Blogger

Den blev afvist i begge tilfælde med fejlen "Declined" i vores gatewaylog. Til sidst blev han så frustreret (desværre), at han sendte et billede af kortet. Betalingen gik igennem med det samme, da jeg tastede det gennem backend.

Her tænker man jo lidt, at der nok er en form for algoritme, som måske har detekteret nogle ting hos kunden, som får dem til at tro, der er tale om fraud.

Fx hvis kunden tilfældigvis deler IP-adresse med en Tor exit node, en inficeret PC, der er del af et botnet eller lignende, som har forsøgt at køre mange falske betalinger igennem.

Men hvor ville det dog være nemmere, hvis man kunne få den rigtige forklaring fra indløseren. Gad vide, hvor mange menneskers tid, der bliver spildt rundt omkring, fordi man mener det højner sikkerheden at stange en generisk, intetsigende fejlkode ud.

  • 7
  • 0
Jan Heisterberg
  • at de rigtige kunder, kortindehaveren, er taber og risikerer lukkede tjenester, rykkergebyrer, og alt muligt lignende.

Løsningen må være, at meddele kunderne at det IKKE har været miligt at løse problemet på grund af pbstruktion i banksystemerne OG opfordre dem til at klage til xxxxxx.
Mon xxxxx er Pengeinstituternes Ankenævn eller hvad mon ?

Det må være en konfrontation mellem den sagesløse kunde og deres bank. Ifølge almindelig dansk ret er der TO parter i en aftale, nemlig disse. Og tredieparter, i dor, af Nets osv. er ubefkommende.
Prøv lige den.

Hvis det er en god, solid, kunde, som er kendt, så giv ham kredit indtil sagen løses.

  • 4
  • 0
Morten Brørup

I vores virksomhed benytter vi PAYMILL til de udenlandske forhandlere, der hellere vil betale med kreditkort end med en SWIFT-bankoverførsel.

Ind imellem afvises betalinger fra forhandlere på det amerikanske kontinent med en "Declined by issuer or card scheme"-lignende fejlkode, og det skyldes som regel, at kreditkortholderens banks systemer til forhindring af kreditkortsvindel afviser betalingen. Løsningen er her, at kreditkortholderen kontakter sin bank om problemet med transaktionen og beder banken åbne kreditkortet for betalingerne til os.

mvh
Morten Brørup
CTO, SmartShare Systems

  • 2
  • 0
Simon Mikkelsen

En enkelt kundes account manager hos Jyske Bank oplyste os, at der var tale om et problem med dataudveksling mellem Nets og Visa, og at der blev arbejdet på højtryk på at løse problemet.

For et godt stykke tid siden fik jeg også afvist to faste betalinger af Jyske Bank. Den ene HostEurope, en tysk hostingleverandør, der heldig vis var flinke og ingen drift blev forstyrret. Den anden var Musikhaus Thomann (også tysk) som blot ventede med at sende mine varer. Jeg havde allerede dengang et mangeårigt kundeforhold med begge. Der var intet nyt i at jeg brugte mit kort dér og rigeligt med penge på kontoen.

Efter en del arbejde kunne min bankrådgiver give præcis samme besked som i citatet.

Det er virkeligt frustrerende at stå og ikke kunne betale noget og det skulle tage mange dage at få en forklaring.

Hosting betaler jeg nu via PayPal. Selvom jeg er dybt uenig i meget af det de gør, så gik betalingen igennem.

De her betalingssystemer er nogle kollodser, der har et utal af integrationspunkter og skal tage hensyn til årtier af bagudkompatibilitet og finurligheder. Det er ikke nemt at lave. Men når man samtidig er afhængig af at det virker og de bare viser én finger nr. 3 er det meget frustrerende.

  • 4
  • 0
René Nielsen

...Så længe bare man ikke modtager pengene fra LuNAR, går alt let.

Deres ledelse er fuldstændig skruppelløse, ja vanvittige, hensynsløse kyniske mennesker.

Der direkte hul igennem til Putin via. dem (ikke at amerikanerne er meget bedre)

Deres umenneskelige metoder til at tjene penge vil med garanti føre til en større skandale end hvad vi har set i klassiske banker (Og det ikke småpenge!)

Pas på jeres børn og hold jer væk fra Lunar

  • 0
  • 0
Casper Pedersen

Jeg som udlandsdansker har altid på et eller andet tidspunkt hvor jeg besøger Danmark, et problem. Mit alm. debit Mastrocard bliver afvist og jeg bliver så nød til at bruge mit Mastercard (eller Visa) til at betale, hvilket er betydelig dyre.

Det eneste der er tilfælles er at det er Nets ... det virker nogle gange, men ikke altid, og det er ikke genialt.

Jeg har prøvet at spørge Nets om hvorfor der er et problem, vi alle kender til hvor meget man få ud af det, og min egen bank ser ikke engang at der er indgået en forspørgsel på betaling.

Skumle....

  • 4
  • 0
Chris Bagge

Lad mig forsøge at afklare problemstillingen lidt.
Det hele "skyldes" formodentligt EU 2018/389 populært kaldet SCA. Denne delegerede forordning trådte i kraft 14 september. Den gælder kun i EEa (EU plus nogle lande).
En af de ting den påbyder er et krav om "stærk kundeautentifikation" (SCA). Det betyder at en masse af det man før godt måtte/kunne, ikke længere er tilladt/afvises. Da det har været uklart hvordan det skulle fortolkes for e-handel har der været ønsker om udskydelse af datoen. Derfor har finanstilsynet i Danmark udskudt ikrafttræden for e-handel. For at gøre forvirringen lidt større så har forskellige lande i EU udsat dele af PSD2 i forskellig grad.

For at en transaktion skal behandles som e-handel kræver det dog at transaktionen fra forretningen side er sat rigtigt op. Det er så noget forretningen / forretningens bank skal sørge for.

Hvis transaktionen afvises vil det være kundens bank der afviser. Her kan forskellige banker være forskelligt langt med indførelsen af SCA.

Herudover er der så en "elastik" i Artikel 18. " ...betalingstjenesteudbydere har mulighed for at undlade at anvende stærk kundeautentifikation, hvis betaleren initierer en elektronisk fjernbetalingstransaktion, som betalingstjenesteudbyderen anser for at indebære en lav risiko i henhold til de transaktionsovervågningsmekanismer..." suk (læs selv den fulde tekst).

  • 0
  • 0
Henrik Biering Blogger

Der har for nylig været et problem med en teknisk ændring hos en underleverandør til NETS, der bevirkede at Quickpay ikke kunne håndtere "Secured by Nets" (altså SCA) på Dankort i ca. 2 døgn. Så selv for betalingsgateways er det altså småt med kvalificeret information fra NETS om problemårsager. Se den udmærkede forklaring fra Quickpay her https://status.quickpay.net/incident/327 om hvordan de måtte bypasse NETS for at få afklaring omkring problemet.

  • 4
  • 0
Yoel Caspersen Blogger

Lad mig forsøge at afklare problemstillingen lidt.
Det hele "skyldes" formodentligt EU 2018/389 populært kaldet SCA. Denne delegerede forordning trådte i kraft 14 september. Den gælder kun i EEa (EU plus nogle lande).

Du har muligvis ret i, at der kan være en sammenhæng med SCA.

Men i og med det kun er en meget lille del af vores kunder, der er ramt, taler sandsynligheden for en teknisk fejl - Jyske Bank (og Nordea, hvis de er omfattet) må alt andet lige formodes at være bank for rigtig mange af vores kunder, langt flere end de ca. 80 kunder, der er ramt.

  • 2
  • 0
Yoel Caspersen Blogger
  • 2
  • 0
Thomas Jensen

QuickPay har efterflg. modtaget en undskyldning fra Nets omkring håndteringen af problemerne ved Secure by Nets. Og sågar på skrift. Det er første gang i QuickPays 15-årige historie noget sådant sker.

Når vi er kommet os over frustrationerne ved at forsøge at slå døre ind hos supertankeren med masser af legacy-systemer og høj kompleksitet, kan vi også tolke det som om der begynder at blæse ny vinde om imødekommenhed og erkendelser.

Men men - der er langt igen.

Måske man i højere grad skulle kigge på organisationskulturer fremfor bonusordninger til cheflagene for vindinger på den korte bane.

  • 6
  • 0
Kenneth Graulund

Mine betalinger til Kviknet blev også afvist pludselig ved sidste betaling, og blev afvist et par gange inden jeg reagerede.
Kviknet support var dog hurtig til at anbefale jeg sletter og tilføjer kortet igen, og så trak pengene normalt.

Jeg er dog kunde hos Lunar/Nykredit Bank, og ikke de ovenstående banker.

  • 0
  • 0
Yoel Caspersen Blogger

Det er lykkedes at komme en smule nærmere problemets årsag i samarbejde med Clearhaus.

Det ser ud som om, vi har to cases: Afviste Visa-kort, som virker igen, når de tilmeldes, og afviste MasterCard, der godt kan tilmeldes igen, men hvor der ikke kan hæves det normale beløb.

Når visse Visa-kort bliver afvist, men virker igen, når de tilmeldes, skyldes det sandsynligvis en nidkær implementation af SCA (strong customer authentication). Kundens bank konstaterer, at der er tale om en recurring transaction, hvor den første transaction ikke er kørt igennem den samme indløser, og afviser den derfor.

Hvis tesen er rigtig, og bankens forståelse af betalingsdirektivet i øvrigt er korrekt, må jeg konkludere, at SCA sker på bekostning af konkurrencen på betalingsmarkedet: Det vil være ualmindelig svært for en netbutik med abonnementsbetalinger at skifte indløser, hvis man samtidig skal sige farvel til et par procent af kunderne, fordi man er nødt til at have dem til at tilmelde deres betalingskort igen.

I forhold til MasterCard, der bliver afvist efter gen-tilmelding, ser det foreløbig ud som om, der muligvis er en fraud-algoritme hos kortholders bank, der aktiveres på de specifikke kort.

Det kræver en forklaring: En betaling består som bekendt af en authorization og en capture. Tanken er, at når en kunde bestiller en vare i en netbutik, reserveres beløbet på kundens kort (authorization), og når netbutikken sender varen, hæves beløbet på kortet (capture).

Når en kunde tilmelder sit betalingskort til Mit Kviknet, opretter vi et abonnement på kortet hos vores betalingsgateway OnPay.

Det sker i praksis ved, at OnPay gennemfører en authorization på 1 krone, der umiddelbart efter annulleres (void). Herved oprettes en transaktion, vi kan referere til, når vi skal trække penge fra kortet, hvilket vi så gør med en ny authorization + capture.

Ved de fejlede MasterCard har vi en spøjs situation: Når kortet er gen-tilmeldt, kan vi oprette en authorization på både 1, 2 og 10 kr. En authorization på 249 kr. (typisk abonnementspris) afvises derimod af banken - og da vi ikke kan se, hvad der foregår i bankens systemer, må vi antage, at bankens algoritme kommer frem til, at der er for stor afvigelse mellem den første abonnementstilmelding på 1 krone og en efterfølgende hævning på 249 kr.

Skal en abonnementstilmelding have samme beløb som efterfølgende hævninger?

Det er der efter sigende nogen, der mener, men det holder ikke i virkeligheden. Der vil være forskel på, hvilke ydelser, abonnementsbetalingen dækker, og desuden er der nogle få banker, der konsekvent viser abonnementstilmeldingen som et trukket beløb på den enkelte kundes konto, selv om der er tale om en authorization uden efterfølgende capture. Derfor har vi valgt 1 krone, da det sjældent vælter læsset for nogen, mens en ekstra trækning på fx 249 kr. for manges vedkommende vil være et problem.

  • 4
  • 0
Yoel Caspersen Blogger

Måske man i højere grad skulle kigge på organisationskulturer fremfor bonusordninger til cheflagene for vindinger på den korte bane.

Tak fordi I deler jeres historie hos QuickPay.

Der er mange, der har holdninger til den måde, Nets driver forretning på, herunder også de store bonusprogrammer til ledelsen, især personificeret ved topchefen med det geniale pressefoto.

Personligt er jeg af den holdning, at Nets må gøre hvad de vil, så længe deres kunder har friheden til at stemme med fødderne, hvis de er utilfredse.

Som jeg ser det, er det primære problem med Nets, at det er en traditionel monopolvirksomhed, som efter der er kommet (lidt) konkurrence på betalingsmarkedet har slået sine kløer i nye monopolforretninger - herunder NemID/MitID.

Løsningen er ikke at regulere Nets, men at fjerne deres monopol. Der er ingen grund til, at en enkelt finansiel virksomhed skal have eneret på at udbyde Dankort, NemID eller noget som helst andet i den stil.

  • 5
  • 0
Log ind eller Opret konto for at kommentere