Quickbit-vedtaket: første sak om MCC-feilbruk i norsk pengespillkontekst

Reading time: 11 min

Quickbit-vedtak fra Lotteritilsynet om MCC-feilbruk og pengespill betalingsformidling i Norge

Loading...

Table of Contents
  1. Hva Quickbit-saken handlet om
  2. Hvem Quickbit er
  3. Slik ble MCC-koden brukt feil
  4. Lotteritilsynets vedtak 18. januar 2022
  5. Selskapets argumenter og tilsynets svar
  6. Hvorfor saken er presedens for tredjepartsbetaling
  7. Hva saken betyr for Mastercard-betalere i dag
  8. Spørsmål om Quickbit-saken

Hva Quickbit-saken handlet om

Quickbit-vedtaket fra Lotteritilsynet 18. januar 2022 er den første norske saken som spesifikt adresserer MCC-feilbruk i pengespillsammenheng. MCC 7995 er den korrekte koden for «Betting/Casino Gambling» i Mastercards system, men det er kjent at MCC 6051 «Quasi Cash» eller koder for ringeminutter eller dating-tjenester benyttes for å skjule pengespill bak feilkoding. Saken mot Quickbit dreide seg om akkurat denne praksisen — at selskapet hadde latt pengespilltransaksjoner gå gjennom under feil kode.

Saken er presedensvirkende fordi den fastslår et viktig prinsipp: feilkoding av pengespill som annet er en form for ulovlig betalingsformidling som faller under §§ 96-100 i pengespillforskriften. Det er ikke bare en bookkeeping-feil — det er en aktiv handling som medvirker til at norske spillere kan sette inn på utenlandske bookmakere som ellers ville vært blokkert.

For meg som har fulgt saken er den interessant fordi den klargjør grenseflaten mellom en betalingsleverandør og en pengespillaktør. Quickbit var ikke en bookmaker selv — det var et mellomledd som behandlet kortbetalinger på vegne av andre. Men ved å feilkode aktivt, ble selskapet et primært mål for håndhevelsen. Det signaliserer at hele kjeden — fra utstedelsesbank, gjennom innløser, til betalingsleverandør, til operatør — kan bli gjenstand for tilsyn.

Hvem Quickbit er

Quickbit eu AB er et svensk-registrert selskap med hovedkontor i Stockholm, listet på Nasdaq First North. Selskapet beskriver seg som en betalingsleverandør innen kryptovaluta — det vil si at deres formelle virksomhet er å konvertere mellom fiat-valuta (NOK, EUR, USD) og kryptovaluta som Bitcoin og Ethereum, og å levere disse tjenestene til kunder via et bredt sett av betalingsmetoder.

I praksis hadde Quickbit en virksomhet som strakte seg utover ren krypto-veksling. Selskapet utviklet hvitmerket betalingsløsninger for andre — det vil si at de leverte teknologi som andre selskap kunne bruke under sitt eget merke for å håndtere kortbetalinger. En del av disse hvitmerket-løsningene ble brukt av utenlandske bookmakere som rettet seg mot blant annet det norske markedet.

Konsekvensen var at en norsk spiller som satte inn på en bookmaker, kunne ha sin Mastercard-transaksjon behandlet teknisk av Quickbit på vegne av bookmakeren. På bankutskriften ville mottakeren stå som «Quickbit» eller en variant, ikke som bookmaker-merket. Det er det første lag av tildekning. MCC-koden Quickbit registrerte seg under hos sin innløser var også ikke 7995 — det var blant annet 6051 «Quasi Cash», som er beregnet for kontantmessige transaksjoner som valutaveksling.

Quickbits forsvarsposisjon var at de var en finansiell tjeneste, ikke en pengespillaktør. De hevdet at deres virksomhet — krypto-veksling — passet under 6051, og at hva kundene gjorde med kryptoen etterpå var utenfor deres kontroll. Tilsynet aksepterte ikke den argumentasjonen, og det er kjernen i vedtaket.

Slik ble MCC-koden brukt feil

Den feilbruken Lotteritilsynet identifiserte hadde flere lag. På overflaten var Quickbit en krypto-børs — den vekslet mellom NOK og kryptovaluta. Men i praksis viste tilsynet at hovedformålet med kjøpet av kryptovaluta for mange av Quickbits norske kunder var umiddelbar omkonvertering til pengespillinnskudd hos utenlandske bookmakere. Det var ikke kjøp av krypto for investering — det var bruk av krypto som mellomstasjon for å unngå Mastercard-blokken.

Mekanismen fungerte slik: Den norske spilleren betalte med Mastercard hos Quickbit. Quickbit konverterte beløpet til kryptovaluta — Bitcoin eller Tether typisk — og sendte det til en bookmaker som mottok kryptovaluta. Bookmakeren konverterte kryptoen tilbake til fiat (eller holdt den som krypto-balanse) og krediterte spillerens spillkonto. Hele kjeden tok få minutter, og fra spillerens perspektiv var det en kortbetaling som førte til en spillkonto-balanse — som om de hadde satt inn direkte.

MCC 7995 er den korrekte koden for «Betting/Casino Gambling», men det er kjent at MCC 6051 «Quasi Cash» eller koder for ringeminutter eller dating-tjenester brukes for å skjule pengespill. Quickbit registrerte seg under en finansiell kode — for kryptoselskap er det ofte 6051 eller varianter av den. Den norske bankens filter for 7995 traff ikke transaksjonen, og den gikk gjennom uten å bli flagget.

Tilsynets vurdering var at Quickbit kjente til at kundene brukte kryptotjenesten primært for pengespill. Det var ikke en uskyldig misforståelse — det var en bevisst forretningsmodell der pengespillaktivitet drev en betydelig del av volumet. Det sentrale i vedtaket var at selv om transaksjonen teknisk var krypto-kjøp, så var den faktisk pengespillinnskudd, og Quickbit hadde plikt til å avvise dem etter pengespillforskriften.

Lotteritilsynets vedtak 18. januar 2022

Vedtaket som ble fattet 18. januar 2022 fastslo at Quickbit hadde brutt pengespillforskriftens regler om betalingsformidling. Tilsynet vurderte at selskapets virksomhet var rettet mot norske spillere, at MCC-koden var feilkodet i forhold til den faktiske bruken, og at Quickbit hadde tilstrekkelig kunnskap om bruksmønsteret til at de kunne ha avvist transaksjonene om de hadde valgt det.

Vedtaket ila ikke umiddelbart en konkret tvangsmulkt — det fastslo prinsippet og ga selskapet pålegg om å rette opp i håndteringen. Det er en typisk struktur for førstegangsvedtak: Tilsynet konstaterer brudd, krever endring, og kan deretter vurdere mulkt om endringen ikke gjennomføres. Hvis Quickbit hadde fortsatt med samme praksis etter vedtaket, ville mulkt vært neste steg.

Det jeg har sett i etterspillet av vedtaket er at Quickbit gjorde betydelige endringer i hvordan de håndterte norske kunder. De skjerpet KYC-prosedyrene, begrenset volumet av krypto-veksling fra Norge, og endret hvordan deres tjenester ble brukt av nedstrøms-bookmakere. De har også senere mistet en del av sitt norske marked, fordi den enkle veien gjennom krypto for pengespill ikke lenger fungerte like greit.

Vedtaket ble ikke rettslig overprøvd i en omfattende prosess — Quickbit valgte å rette seg, snarere enn å gå til retten. Det er en viktig observasjon for senere saker: Selskap som er tatt for MCC-feilbruk har ofte valgt forhandling og endring framfor langvarig tvist, fordi den juridiske posisjonen for å forsvare feilkoding er svak.

Selskapets argumenter og tilsynets svar

Quickbit framla flere argumenter til forsvar. Det første var at selskapet bare leverte teknisk infrastruktur — de var ikke ansvarlige for hva kundene gjorde med kryptoen etterpå. Tilsynet svarte at dette var en for snever fortolkning av §§ 96-97. Forskriften krever at foretak som yter betalingstjenester avviser transaksjoner som har «sammenheng med pengespill» — og hvis foretaket vet eller burde vite at brukerne i hovedsak driver pengespill, har det plikten.

Det andre argumentet var at krypto-virksomheten var legitim under MCC 6051 fordi det er en kontantmessig finansiell transaksjon. Tilsynet aksepterte at krypto-veksling i prinsippet kan klassifiseres slik, men avviste at klassifiseringen var korrekt når den faktiske bruken var pengespill. Tilsynets posisjon var at MCC skal reflektere den underliggende økonomiske aktiviteten, ikke den tekniske karakteristikken — og at Quickbit hadde valgt en kode som tildekket aktiviteten i stedet for å reflektere den.

Det tredje argumentet var jurisdiksjonelt. Quickbit hevdet at som svensk selskap var de ikke direkte underlagt norsk tilsyn. Tilsynet svarte at norsk pengespillforskrift gjelder for foretak som retter seg mot norske spillere, uavhengig av selskapets hjemstat. Markedsføring rettet mot Norge, betalinger fra norske kunder, og samarbeid med bookmakere som retter seg mot Norge utløser norsk tilsynsmyndighet.

Argumentene reflekterer den prinsipielle gråsonen i håndhevelse på tvers av jurisdiksjon, men i praksis er tilsynets posisjon konsistent med EU-domstolens og EFTA-domstolens praksis. Et land kan håndheve sine pengespillregler mot utenlandske aktører som retter seg mot landets borgere — det er en etablert prinsipp.

Hvorfor saken er presedens for tredjepartsbetaling

Quickbit-vedtaket har hatt presedensvirkning utover sin egen kontekst. Det jeg har sett er at flere andre tredjepart-betalingsleverandører har endret sine prosedyrer som følge av saken. ePro Payabl, Finrax, Cinkciarz og lignende har styrket sin egen vurdering av om kundene driver pengespill rettet mot Norge — fordi de risikerer lignende vedtak om de gjør tilsvarende feilkoding.

Det jeg har skrevet om i mer detalj om denne kjeden av betalingsleverandører er tematilsynet av 37 banker og hvordan etterlevelsen av §§ 96-97 vurderes på bredt nivå. Det er en nær parallell til Quickbit-saken — der tilsynet sjekker hvordan banker faktisk implementerer filteret, mens Quickbit-saken fastsatte hva som skjer når en betalingsleverandør aktivt unngår filteret.

For betalingsleverandører som opererer mot det norske markedet er Quickbit-vedtaket en advarsel: Korrekt MCC-koding er ikke valgfritt, og bevisst feilkoding vil utløse tilsynsreaksjoner. For bookmakere er signalet at den enkle ruten gjennom krypto-veksling er stengt — eller i hvert fall mer overvåket — og at de må finne andre måter å gå rundt blokken. Det jeg ser i markedet er at e-lommebøker som Skrill og Neteller har overtatt mye av rollen krypto-veksling tidligere hadde, og at bookmakerne nå retter seg mer mot disse.

En videre presedensvirkning er at saken bygger fundament for håndhevelse mot lignende kjeder. Quickbit ble i utgangspunktet adressert som en sak om MCC-feilbruk, men prinsippet — at den faktiske aktiviteten styrer, ikke den tekniske klassifiseringen — er bredere anvendelig.

Hva saken betyr for Mastercard-betalere i dag

For en spiller som forsøker å bruke Mastercard mot en utenlandsk bookmaker via en mellomledd-tjeneste, har Quickbit-saken praktisk konsekvens. De direkte krypto-vekslerne som tidligere fungerte som mellomledd er enten lukket for norske kunder, eller de skjerper KYC-kravene betydelig. En transaksjon som tidligere gikk gjennom uten merknad blir nå avvist eller flagget for ekstra dokumentasjon.

Det er også en bredere effekt: Bankene har blitt mer sensitive på navnene som dukker opp som mottakere av Mastercard-betalinger. Hvis du tidligere har brukt en kjent betalingsleverandør for pengespill, kan banken ha denne på en intern svarteliste som blokkeres uavhengig av MCC-kode. Den indirekte oppdagelsen er en del av det jeg kaller «mønsterdeteksjon» — banken oppdager strømmen ut fra mønstre, ikke bare fra MCC-koden direkte.

Det jeg vil vekke oppmerksomhet på for spillere er at Quickbit-saken ikke er et engangstilfelle — det er begynnelsen på en linje av håndhevelse som har fortsatt og som vil fortsette. Hvert år ser jeg flere lignende vedtak, både i Norge og i andre nordiske land. For spilleren betyr det at tilsynelatende stabile innskuddsruter kan endres uten varsel, og det som virket forrige måned kan være avvist denne måned.

Den siste praktiske observasjonen er at Quickbit-saken har stengt en bestemt kanal mer effektivt enn tilsvarende blokkering av direkte Mastercard-innskudd hos bookmakere. Når en betalingsleverandør blir flagget, mister den hele sin rolle som mellomledd — det er ikke bare den enkelte transaksjonen som blokkeres, det er hele tjenesten. For spilleren er konsekvensen at en av flere tilgjengelige veier er stengt, og det kreves nytt arbeid å finne en annen vei.

Spørsmål om Quickbit-saken

To spørsmål dukker ofte opp.

Ble Quickbit ilagt mulkt eller bare gitt vedtak?

Det første vedtaket fra 18. januar 2022 fastslo brudd og ga pålegg om endring, men ila ikke umiddelbar mulkt. Mulkt ville være neste trinn om Quickbit ikke hadde rettet seg etter vedtaket. Selskapet valgte å implementere endringer fremfor å risikere senere mulkt, og det er ikke offentlig dokumentert at det er kommet videre tvangsmulkt mot Quickbit i etterkant.

Har det kommet nye Quickbit-lignende vedtak senere?

Lotteritilsynet har fortsatt å forfølge betalingsleverandører som driver feilkoding eller andre former for omgåelse. De spesifikke navnene varierer, og ikke alle saker offentliggjøres i full detalj. Generelt er det jevn håndhevelse mot tredjepart-leverandører, og bransjeobservatører forventer flere lignende saker fremover.

Created by the "Mastercard Betting" editorial team.

Utenlandske Mastercard på norske bettingsider: N26, Wise | Kortodds

N26, Wise og andre utenlandske Mastercard mot bettingsider: kontoåpning fra Norge, MCC 7995-aksept, hva norsk…

Tredjepartsbetaling med Mastercard: ePro, Payabl og Finrax

Hvordan tredjepartsbehandlere som ePro, Payabl og Finrax håndterer Mastercard-innskudd på bookmaker — flyt, MCC og…

Revolut som alternativ til Mastercard på betting i Norge

Konto, virtuelt kort, Gambling Block og uttak: hvordan Revolut faktisk fungerer som alternativ til norsk…

MCC 7995 og Mastercard betting: hvorfor banker stopper innskudd

MCC 7995 forklart: hvordan koden styrer kortbetaling på betting, tematilsyn av 37 banker og hva…

3D Secure ved Mastercard på betting: bekreftelse og feilkilder

Hva 3D Secure faktisk gjør under et Mastercard-innskudd på bookmaker, BankID i flyten og hvor…