3D Secure ved Mastercard-betting: hvordan bekreftelsen påvirker innskuddet ditt

Reading time: 8 min

3D Secure-bekreftelse på Mastercard-betting med BankID-flyt mellom bookmaker og bank

Loading...

Table of Contents
  1. Hva 3D Secure egentlig sjekker
  2. Slik fungerer flyten mellom bank og bookmaker
  3. Norsk BankID i 3DS-strømmen
  4. Hvor i flyten betting-transaksjoner ofte stopper
  5. Timeout og når innskuddet «henger»
  6. 3DS for kort utstedt utenfor Norge
  7. Hvorfor 3DS er mer enn et hinder

Hva 3D Secure egentlig sjekker

Min favorittpåminnelse om 3D Secure kommer fra en spiller som var helt sikker på at «den der dialogboksen bare er et reklamevindu». Han hadde lukket den seks ganger på rad, og lurte på hvorfor innskuddet hans aldri kom gjennom. Det var ikke reklame. Det var det aller siste leddet i en bekreftelsesflyt som er bygget inn for at både banken og kortselskapet skal kunne si seg sikre på at det er du som faktisk autoriserer transaksjonen.

Den enkle definisjonen av 3D Secure er at det er et autentiseringslag på toppen av selve betalingen. Den litt mer presise definisjonen er at det er en trekantsamtale mellom tre domener: kortselskapets domene, kortholderens utsteder-domene, og merkantens domene — derav «3D» i navnet. Når du legger inn et innskudd hos en bookmaker, blir kortet ditt sendt med en forespørsel som passerer alle tre, og bekreftelsen din legger seg som det avgjørende underskriftsleddet før banken slipper transaksjonen videre.

I 3. kvartal 2023 brukte nordmenn internasjonale betalingskort for totalt 170 milliarder NOK, en økning på 15 prosent fra året før. Halvparten av det — 51 prosent — var på internett. Det er volum som forklarer hvorfor 3D Secure har gått fra valgfritt til obligatorisk på de aller fleste netthandel-transaksjoner: jo mer kortet brukes uten fysisk tilstedeværelse, desto mer trenger systemet en pålitelig måte å verifisere at det er kortholderen som faktisk står bak.

Slik fungerer flyten mellom bank og bookmaker

Det første jeg pleier å gjøre når jeg dissekerer en innskuddsfeil er å tegne flyten på papir. Bookmakeren ber kortet ditt om å betale. Kortets nettverk — Mastercard — sender forespørselen til banken din. Banken sjekker om transaksjonen krever 3DS-bekreftelse, og hvis svaret er ja, sendes du via en omdirigering til bankens egen 3DS-side eller -applikasjon. Du bekrefter, banken signerer transaksjonen, og signaturen reiser tilbake gjennom Mastercard til bookmakeren.

Det er fire potensielle stoppunkter i denne flyten. Det første er om bookmakeren overhodet sender en korrekt 3DS-forespørsel — flere mindre bookmakere bruker 3DS 1, en gammel versjon som norske banker har faset ut. Det andre er om Mastercards nettverk ruter forespørselen til riktig bank — utgår sjelden, men skjer ved BIN-feil. Det tredje er bankens egen 3DS-tjeneste, som kan være nede eller ha kø. Det fjerde er om du, kortholderen, klarer å fullføre bekreftelsen før timeout slår inn.

Hvert av de fire stoppunktene gir litt forskjellig feilmelding hos bookmakeren. Det er en av grunnene til at jeg er forsiktig med å trekke konklusjoner basert på det første feilskjermbildet — den teksten er ofte generisk og kan dekke over en hel rekke mulige rotårsaker.

Norsk BankID i 3DS-strømmen

BankID er en norsk særegenhet i 3DS-flyten. I motsetning til mange andre land der bekreftelsen kommer som en SMS-kode eller en push-melding fra bankappen, skjer den i Norge gjennom BankID — enten på mobil eller med kodebrikke — og den åpner ofte i en separat applikasjon utenfor nettleseren der bookmakerens innskuddsside ligger.

Det skaper en bruksfriksjon som spillere ofte støter på uten å forstå. Du trykker «betal», BankID-appen åpner seg, du lukker den uten å fullføre fordi du tror noe har gått galt — og når du går tilbake til nettleseren har transaksjonsforsøket allerede løpt ut for tid. Bookmakeren ser en mislykket bekreftelse, banken ser et avbrutt signaturforsøk, og pengene har aldri rørt seg.

Den positive siden av BankID i 3DS-flyten er sikkerheten. En BankID-bekreftelse er kryptografisk solid, og den er knyttet til ditt personnummer på en måte som gjør det praktisk umulig å forfalske. Det er en av grunnene til at norske kortutstedere har blant de laveste svindelraterne i Europa på nett-transaksjoner.

Hvor i flyten betting-transaksjoner ofte stopper

I min loggbok over kortinnskudd-feil fra 2023 og 2024 var det ett stoppunkt som dukket opp uforholdsmessig ofte: det øyeblikket bookmakeren venter på 3DS-svaret fra banken, og banken har lagt en MCC 7995-blokk inn før selve 3DS-forespørselen utløses. Da skjer det noe som er forvirrende for spilleren — bookmakeren rapporterer en «3DS-feil», men det er egentlig ikke 3DS som har feilet. Det er den underliggende blokken som har stoppet hele tråden.

Lotteritilsynets tematilsyn av 37 banker i 2023 og 2024 dokumenterte at bankene har implementert blokken, men at implementeringstidene varierte. I noen banker går blokken aktivt før 3DS-laget aktiveres — der ser du aldri en BankID-forespørsel, transaksjonen bare avvises. I andre banker går 3DS først, og blokken slår inn etterpå — der ser du BankID-prompten, fullfører den, og får likevel feilmelding.

Den mest tidkrevende avvisningen for spilleren er den der 3DS er fullført. Da har du selv gjort jobben — autentisert deg, brukt tid på BankID — bare for å få beskjed om at transaksjonen likevel ikke gikk gjennom. Den følelsen av spilt arbeid forklarer mange av de irriterte samtalene jeg har hørt fra kundeservice hos bankene.

Timeout og når innskuddet «henger»

Det er en uskreven regel i 3DS-flyten at hele transaksjonen må fullføres i løpet av en gitt tidsramme — vanligvis et sted mellom to og fem minutter, avhengig av kortselskapets og bankens innstillinger. Hvis du tar mer tid enn det, slår en timeout inn, og hele transaksjonen blir stående i en mellomtilstand.

Mellomtilstanden er det jeg ser flest spørsmål om. Beløpet er reservert på kortet — kontoen viser at det er trukket — men bookmakeren har ikke mottatt bekreftelsen, og innskuddet vises ikke på spillkontoen. Pengene er i en limbofase mellom de to systemene.

I de fleste tilfeller løses dette av seg selv innen 24 til 72 timer: reservasjonen utløper, kortet får tilbake beløpet, og bookmakeren ser aldri penger komme inn. Men i mellomtiden går kontoen din i ubalanse, og hvis du forsøker et nytt innskudd kan du oppleve at den daglige grensen din er nådd — fordi det første forsøket fortsatt teller, selv om det aldri ble fullført.

3DS for kort utstedt utenfor Norge

Et kort utstedt av en utenlandsk bank — for eksempel en N26-konto fra Tyskland eller en Wise-konto fra Belgia — bruker den utenlandske utstederens egen 3DS-implementering, ikke norsk BankID. Det betyr at bekreftelsen kan komme som en SMS, en push-melding i N26-appen, eller en kode fra en tysk eller belgisk autentiseringsløsning.

For spilleren som er vant til BankID kan det føles som et annet system, men prinsippet er likt. Forskjellen ligger i hvilke regler den utenlandske utstederen har for MCC 7995. En tysk bank har ikke samme forpliktelser som en norsk under norsk pengespillforskrift, men den har sine egne regler under tysk og europeisk regelverk — og noen utstedere har implementert pengespill-blokker uavhengig av land. Jeg har skrevet en egen analyse av hva som faktisk skjer når et utenlandsk Mastercard møter en norsk bookmaker, og hvordan det skiller seg fra et norsk kort i 3DS-flyten.

Den praktiske konsekvensen for spilleren som lurer på om utenlandske kort gir «enklere» 3DS er at svaret er nei. Bekreftelsen er like streng — den ser bare litt annerledes ut.

Hvorfor 3DS er mer enn et hinder

Det er fristende å oppleve 3D Secure som et byråkratisk lag mellom deg og innskuddet. Men kjernen i hvorfor systemet finnes er ikke pengespill-spesifikk; den er bredere. 3DS reduserer kortsvindel målbart — i Norge har det bidratt til at kortholdersvindel på nett ligger på en lav internasjonal andel — og bekreftelsen din er like mye en beskyttelse for deg som for banken og bookmakeren.

Når en transaksjon avvises i 3DS-laget, er det ofte ikke 3DS som er problemet. Det er reglene som bankene legger oppå, og 3DS er bare instrumentet som signaliserer dem.

Hvorfor får jeg ikke 3DS-varsel selv om innskuddet er i gang?

Den vanligste grunnen er at banken har avvist transaksjonen før 3DS-laget i det hele tatt blir aktivert. Hvis brukerstedskoden gjenkjennes som MCC 7995 og banken har en aktiv blokk, stoppes forespørselen i autoriseringssteget og når aldri 3DS-tjenesten. Andre grunner kan være at bookmakeren bruker en utdatert 3DS-versjon som banken din ikke aksepterer, eller at kortet ditt er sperret for nettkjøp i mobilbanken.

Kan en bookmaker hoppe over 3DS for små beløp?

Mastercard og kortselskapenes regelverk åpner i noen tilfeller for at små transaksjoner kan gå uten 3DS — særlig på etablerte brukersteder med lav risikoprofil. Men på pengespill bruker norske banker normalt 3DS uavhengig av beløp, fordi MCC 7995 i seg selv er klassifisert som høyrisiko. I praksis betyr det at du nesten alltid skal forvente en BankID-bekreftelse på et bookmakerinnskudd, uansett om beløpet er 100 eller 5 000 NOK.

Created by the "Mastercard Betting" editorial team.

Tredjepartsbetaling med Mastercard: ePro, Payabl og Finrax

Hvordan tredjepartsbehandlere som ePro, Payabl og Finrax håndterer Mastercard-innskudd på bookmaker — flyt, MCC og…

Quickbit-vedtaket: første sak om MCC-feilbruk på pengespill

Hva Quickbit-saken handlet om, slik tilsynet vurderte MCC-feilbruken og hvorfor vedtaket er presedens for tredjepartsbetaling.

Innskuddsgrense og Mastercard på betting: minimum og maksimum

Bookmakerens, bankens og kortets grenser for Mastercard-innskudd på betting — slik henger de sammen i…

Gebyrer ved Mastercard på betting: hva du faktisk betaler

Bookmakerens, bankens og kortselskapets gebyrer ved Mastercard på betting — regneeksempel og oversikt over skjulte…

Tematilsynet av 37 banker: hvor godt etterleves blokkeringen?

Lotteritilsynets tematilsyn av 37 banker i 2023–2024 — hovedfunn, tidsbruk over to måneder og konsekvenser…