Annons

Istället för pengar

Reportage: Mobila betalningar

Med mobilen som plånbok kan du säkra kortuppgifterna med fingeravtrycket och enklare hålla koll på alla bonusprogram och kundklubbar. Blir det bankerna eller mobilbranschen som fixar framtidens betalningar?

Publicerad Uppdaterad

När mobilnäten blev digitala i mitten av 90-talet föddes tankarna på att låta mobiltelefonen ersätta betalkort och kontanter. Många har känt sig kallade att leverera framtidens betalningsmedel, men de riktiga succéerna har hittills begränsat sig till enstaka länder eller användningsområden, trots att det finns många fördelar med att byta ut korten mot mobilappar. Tunnare plånbok, bättre säkerhet och mer relevanta erbjudanden när betalningarna knyts samman med allt annat innehåll som vi bär med oss i mobilen. 

I GSM-teknikens barndom, innan någon hade hört talas om Internet of things, eller på svenska sakernas internet, så försökte den finska mobiloperatören Sonera utveckla en lösning för att låta varuautomater ”ringa hem” via mobilnätet och berätta när det var dags för service eller påfyllning. På den tiden var tekniken fortfarande dyr och det gick inte att täcka kostnaden för uppkopplad hårdvara i varje automat, men tillsammans med Coca Cola började man istället titta på möjligheten att låta kunderna betala för dryckerna via mobilräkningen. 1997 dök de första läskautomaterna med SMS-betalning upp på flygplatsen och på den tekniska högskolan i Helsingfors. Tjänsten använde sig av engångskoder som förprogrammerades i automaten, så det var bara den törstiga kunden som behövde en mobil. Automaten hade en vanlig kodknappsats och klarade sig helt utan uppkoppling. Denna tidiga lösning för mobila betalningar blev framgångsrik, både läskautomaten ”Dial-a-Coke” som spreds till fler länder och modellen med SMS-köp som betalas via mobilräkningen.

Fördelen med SMS-betalningar var att nästan alla abonnemang och kontantkort redan var kopplade till tjänsten. Operatörerna tog saftigt betalt för att förmedla pengarna, men enkelheten gjorde att många ändå använde sig av tjänsten för allt från bussbiljetter till premiuminnehåll, parkeringsavgifter, varuautomater och donationer till välgörenhet. I vissa fall ställde tjänsten till med problem när minderåriga använde mobilen på ett annat sätt än deras föräldrar tänkt sig eller privata köp hamnade på jobbmobilräkningar. Det var senare en allt striktare EU-lagstiftning som fick SMS-betalningar att dala i popularitet. Första spiken i kistan var penningtvättslagarna som trädde i kraft 2009. I Sverige tolkades de nya bestämmelserna mer strikt än i många andra länder. Fler företag än tidigare hamnade under Finansinspektionens tillsyn och fick krav på sig att identifiera alla kunder. De svenska mobiloperatörerna svarade med att flytta betalningarna till ett separat bolag kallat 4T Sverige AB och tjänsten Wywallet.



Enkelhet ett måste
– Det är enkelhet som driver utvecklingen mot mobila betalningar, säger Daniel Wahlström, chef för affärsutveckling på Danske Bank.

När mobiloperatörerna slopade de enkla SMS-betalningarna till förmån för Wywallet, och stängde ute kunder som inte registrerat sig, kunde bankerna kliva in och ta plats som betalningsförmedlare även i mobilen – antingen med traditionella kort eller med tjänsten Swish.

– Swish har fyllt ett stort tomrum på marknaden, menar Daniel Wahlström, och berättar att tjänsten idag har ungefär 4,3 miljoner personer anslutna samtidigt som ytterligare cirka 100 000 nya användare strömmar till varje månad. I samband med löneutbetalningen i april 2016 gjordes i genomsnitt sju Swishbetalningar varje sekund.

Swish har dock ännu inte lyckats ersätta någon signifikant andel av de betalningar som tidigare gjordes via SMS. Gamla storanvändare som kollektivtrafikbolag har gått över till andra lösningar. De flesta bygger på att man använder något av de stora och etablerade betalkorten. Visa och Mastercard dominerar helt och kan styra över prissättningen – på nätet, i mobilen och inte minst när det gäller tjänsterna som används i fysiska butiker.

Enligt Riksbanken sker drygt 70 procent av alla betalningar i Sverige med kort, men i detaljhandeln är siffran högre och för många butiker närmar sig andelen nu 100 procent.   

– Problemet är att vi inte har något alternativ till kort. Tidigare var kontanter ett alternativ, men fler och fler butiker vill få bort kontanthanteringen eftersom den är dyr och riskfylld, säger Bengt Nilervall, Näringspolitisk expert på betalfrågor på branschorganisationen Svensk Handel. Han ser dock mobilen som ett värdefullt redskap, dels genom tjänster som Izettle som kan fungera som backup för de ordinarie kortterminalerna, dels genom nya betaltjänster som Swish, Seqr och Klarna.

– Swish har öppnats upp för småföretag och organisationer och i vintras kom funktioner för e-handel. Intresset är stort och vi ser gärna att tjänsten även kommer till den etablerade handeln.

Väg till mervärde
Bengt Nilervall förklarar att pengarna flyttas från bankkonto till bankkonto utan kortföretag som mellanhänder och att det ger möjlighet till prispress. Idag är dock avgiften för handlarna hög jämfört med kort. Dessutom saknas viktiga administrativa funktioner, till exempel stöd för återköp och möjlighet att integrera Swish i kassasystemen.

– Det är få användare som är villiga att betala för en betaltjänst vid sidan av de etablerade betalkorten. De stora pengarna ligger i att kunna erbjuda och ta betalt för något som ger ett mervärde för handlarna, säger Ted Lindblom, professor inom industriell och finansiell ekonomi på Handelshögskolan vid Göteborgs universitet.

Ted Lindblom menar att den svenska marknaden är en utmaning för internationella spelare som exempelvis Paypal eftersom det svenska betalningssystemet länge legat i framkant med plus- och bankgiro och hög andel kortköp. Det har dämpat efterfrågan på alternativa tjänster. Däremot har Google, Samsung och Apple en möjlighet i att utnyttja sin tekniska kompetens för att få låga kostnader i sina system.

– De kan bara slå sig in på marknaden om de kan erbjuda bättre priser och bättre kvalitet.

En annan utmaning för mobilbolagen är att EU reglerar bankernas prissättning på ungefär samma sätt som mobiloperatörernas roamingavgifter. Vid varje kortbetalning betalar handlarens bank en avgift till banken som gett ut kundens kort – inom EU max 0,2 % för betalkort och 0,3 % för kreditkort.

Bengt Nilervall ser en konflikt under uppsegling. 

– Nu vill Apple kliva in och också ha lite pengar. I USA fick man 15 punkter – och det skulle vara helt ohållbart för de europeiska bankerna att ge 15 av 20 eller 30 punkter till Apple. Det kanske blir mer intressant för bankerna att promota Swish istället. Då behåller de dessutom en starkare relation med kunderna.

Framtiden är kontaktlös
2013 menade Ebay-chefen John Donahoe att förkortningen NFC borde utläsas ”Not for commerce”, en tydlig känga till mobil- och kortbranschernas begränsade framgångar med att få igång de nya betaltjänsterna. Apple var länge en bromskloss och vägrade envist att bygga in den nödvändiga hårdvaran i sina mobiler, men 2014 lanserades Iphone 6 och tjänsten Apple Pay. Google började med kontaktlösa betalningar redan 2011 under namnet Google Wallet, men tjänsten hölls inom USA:s gränser fram till 2015 när Android Pay lanserades som ett svar på Apple Pay. 

Kortföretagen ser dock ut att kunna erbjuda kontaktlösa betalningar i Sverige långt innan mobiltjänsterna Apple Pay, Android Pay och Samsung Pay gör sina intåg här. 

– Vi gjorde som första bank en pilot med kontaktlösa kort under 2014 och idag levereras alla våra kort med funktionen inbyggd, säger Daniel Wahlström på Danske Bank. Även Icabanken använder kontaktlösa kort och har dessutom ett väl utbyggt butiksnät där tekniken kan användas. 

Plastkort med NFC kommer att leda övergången till kontaktlösa betalningar, men såväl banker som betalningsföretagen och handeln har mycket att vinna på att mobilerna tar över kortens roll. Kostnaden för att tillverka plastkorten försvinner och det går att koppla betalningen till lojalitetsprogram, garantier och kundklubbar.

En lång rad länder har kommit längre än Sverige när det gäller kontaktlösa betalningar, men utvecklingen rör sig i den riktningen även här och Bengt Nilervall uppskattar att ungefär 60 procent av de kortterminaler som finns ute i butikerna redan har NFC-hårdvaran på plats. Kedjor som Pressbyrån och 7-Eleven tar emot kontaktlösa kort redan idag och det krävs bara en mjukvaruuppdatering för att de allra flesta ska kunna ta emot betalningar utan att läsa chip eller magnetremsa.

Till skillnad från Google och Microsoft låter inte Apple någon annan utvecklare komma åt NFC-chippet, så för att kunna leverera en betaltjänst som fungerar med alla mobiler – och på vilken marknad som helst – behöver man titta på andra tekniska lösningar. Tvådimensionella streckkoder – till exempel QR-koder och Datamatrix – har blivit utvecklarnas favorit. 

En av de mest framgångsrika streckkodstillämpningarna är cafékedjan Starbucks egen app, men tekniken används även i Sverige. Betaltjänsterna Seqr och Payair fungerar både på webben och i många butiker. 

– Seqr är en riktig utmanare till de etablerade systemen. De går helt utanför infrastrukturen med de stora betalkorten, men transaktionerna är fortfarande ganska få. Tyvärr, får man säga, för vi skulle behöva en riktig konkurrent till Visa och Mastercard, säger Bengt Nilervall.

Ett annat tänkbart alternativ till NFC är bluetooth – speciellt den strömsnåla varianten som går under namnet BLE (Bluetooth Low Energy). Hårdvaran är åtkomlig för apputveckling på alla mobilsystem och används redan för att driva försäljning – till exempel Ibeacons som håller koll på kundernas position och levererar skräddarsydda erbjudanden på shoppingcentra och nöjesfält. Bluetooth har en räckvidd på många meter medan NFC kräver att man håller mobilen precis intill läsaren. BLE kan göra det möjligt att betala var som helst i butiken – utan att säljaren behöver ha någon terminal till hands. Det kan också vara en bra lösning för butiker med självskanning eller för att minimera köerna vid biljettförsäljning och i lunchrestauranger. Ett exempel på betalningar med hjälp av BLE är Paypal Beacon – en bluetoothsändare som väcker Paypal-appen i mobilen när man kliver in i en ansluten butik.

Säkerheten främst
– Säkerheten är A och O, säger Daniel Wahlström. Vår roll som bank jämfört med nya aktörer är att vi hunnit bygga upp ett förtroende hos våra kunder och vi har en lång erfarenhet av att hantera betalningar. Som kund ska man känna sig trygg i att använda de lösningar vi har på marknaden.

Bankernas varumärken har spelat en viktig roll när det gäller att locka användare till Swish framför äldre och mer internationellt gångbara tjänster som Paypal. Men säkerhetstänkandet finns hos alla aktörer och betaltjänster är av naturliga skäl särskilt attraktiva för hackare och bedragare. Därför använder tjänsterna en bred arsenal av säkerhetslösningar. Paypal använder exempelvis flera typer av validering för att steg för steg öppna appen för transaktioner med högre belopp. Både engångskoder via mejl och SMS och att användaren ombeds mata in en kod som Paypal skickar via texten på kontoutdraget. 

Den viktigaste förutsättningen för att kunna genomföra affärer med mobilen är att kunna kommunicera säkert med betaltjänsterna så att inga mellanhänder kan fånga in lösenord eller kortnummer. Den viktigaste tekniken kallas TLS (Transport Layer Security). Ibland används även den äldre beteckningen SSL och tekniken används för att kryptera kommunikationen mellan mobilen och tjänsterna du använder. Mobiloperatören, eller den som äger ett wifi-nät du använder, kan fortfarande se vilka servrar du kopplar upp dig mot, men själva trafiken, det vill säga exakt vilka sidor du besöker eller vilka uppgifter du skickar, den informationen skyddas. TLS används både i webbläsaren (ofta syns ett grönt hänglås som indikerar att trafiken är krypterad) och när appar utbyter data.

Kryptering löser dock inte hela säkerhetsproblematiken. Även om vi kan vara någorlunda trygga i att ingen snappar upp kortnummer eller andra känsliga uppgifter på vägen, hur vet vi att handlaren är seriös och inte drar mer pengar än avtalat eller slarvar med säkerheten och får sin server hackad? Många tjänster använder sig av ”tokenization” - en lösning som bygger på samma tanke som casinomarker eller värdecheckar. Det som är känsligt och stöldbegärligt – oavsett om det är kontanter eller data byts ut mot en ”token”, vilket är något som bara har ett värde i ett givet sammanhang eller under begränsad tid. Tokenization är en viktig del av både Apple Pay och Android Pay, men också av kortinfrastrukturen med chip och pin. Istället för att skicka kortnumret som om det kom på avvägar skulle kunna användas för fler transaktioner så skickar man en token som bara gäller vid ett enda tillfälle.

Men hur genereras en token och hur kan betalningsmottagaren veta att den är äkta? Oavsett om du handlar med chip-kort eller Apple Pay så bär du omkring på en elektronisk komponent som kallas Secure Element (SE). Till skillnad från gamla kort med magnetremsa eller de enklaste typerna av RFID-taggar så handlar det inte bara om ett minne. Ett SE är konstruerat för att hellre gå sönder än att avslöja sitt innehåll. När du gör ett köp så skickar betaltjänsten in en rad uppgifter i kortets eller mobilens SE – till exempel betalningsmottagaren och beloppet. Ofta krävs ditt godkännande i form av pinkod eller fingeravtryck innan uppgifterna behandlas. Mobilens eller kortets SE lämnar aldrig ifrån sig kortnumret, utan genererar istället en token i form av en krypterad checksumma, ungefär som en komplicerad version av sista siffran i ett personnummer. Siffran är baserad på ditt kortnummer, beloppet och övriga uppgifter från handlaren. Banken eller betalningstjänsten verifierar att allt stämmer och därefter flyttas dina pengar till betalningsmottagaren. Försöker någon att använda koden en extra gång eller ändra informationen så att en annan summa dras eller pengarna skickas till fel mottagare – då stämmer inte längre checksumman och transaktionen nekas. 

Kontrollen över mobilens secure element är föremål för en av de stora maktkamperna inom mobila betalningar. Apple har valt en lösning där NFC-läsaren bara kommunicerar direkt med mobilens SE, som i sin tur bara fungerar med Apples egen betaltjänst. Google försökte sig på att skapa en mer öppen arkitektur för SE i Android, men planerna stötte på motstånd från mobiloperatörer som ville skydda sin egen tjänst Softcard som bygger på betalfunktioner i SIM-kortet. Därför använder Google Wallet och uppföljaren Android Pay sedan 2013 istället en teknik som kallas Host Card Emulation (HCE). Med HCE flyttas SE-funktionen till en molntjänst och betalappen använder krypterade autentiseringsuppgifter som lagras i mobilens vanliga filsystem. Fördelen med HCE är att funktionen byggs upp i mjukvara och fungerar oavsett märke och systemchip – så länge som mobilen kör rätt version av operativsystemet. Förespråkare av Apples lösning menar att kundernas integritet skyddas bättre med hårdvarubaserat SE eftersom det inte finns någon central molntjänst som hanterar alla kortuppgifter och transaktioner.

Både Apple Pay och Android Pay bygger på kontaktlösa betalningar via NFC, men Samsung litar inte på att infrastrukturen kommer på plats tillräckligt snabbt och har därför byggt in en sändare som kan emulera kort med magnetremsa. Det gör att Samsung Pay kan fungera även med riktigt gamla kortterminaler. Lyckligtvis har Samsung moderniserat systemet genom tokenization, så det är inte kortnumret som skickas utan ett virtuellt nummer som bara fungerar för en transaktion.

Det är inte bara inom betalningar som man satsar på kontaktlös teknik. För inte länge sedan uppmärksammades säkerhetsproblem med kontaktlösa bilnycklar: Tjuvar smög sig intill bilens ägare med en sorts repeater som kan skicka nyckelsignalen långa sträckor och därmed låsa upp och starta bilen på distans. Finns det liknande risker med mobila och kontaktlösa betalningar?

– Vi har haft kontaktlösa kort igång i flera år i både Storbritannien och Danmark, men vi har inte sett någon ökning av antalet bedrägerier, säger Daniel Wahlström på Danske Bank.

Samtidigt finns säkerhetslösningar på plats som skyddar pengarna. Vid en viss andel av transaktionerna frågar även de kontaktlösa terminalerna efter pinkod. Och betalningar på över 250 kr kräver alltid pin. Mobilen stärker ytterligare möjligheten till hög säkerhet vid kontaktlösa betalningar, till exempel genom att använda kombinationer av pinkod och biometrisk inloggning.

Infrastrukturen för betalningar med NFC eller QR-kod finns på plats i de flesta kassor, men det är fortfarande få som betalar med mobilen i butik. Banker, handlare och kortföretag kan inte lansera egna NFC-lösningar för mobilen utan att stänga ute Iphone-användare medan kunderna är avvaktande inför att använda helt nya betalappar som Seqr eller Payair. I USA och Asien storsatsar Apple, Google och Samsung på mobila betalningar. Avgiftsregleringarna i Europa gör det till en utmaning att få ihop affären, men tjänsterna är på väg att rullas ut även på denna sida Atlanten med start i Spanien och Storbritannien. Nycklarna till en framgångsrik betaltjänst är att den ska leverera mervärden för både kunder och handlare samtidigt som banker och mobiljättar hittar en hållbar modell för samarbete och fördelning av vinster och kostnader. Om kunderna bestämmer sig för att de vill använda mobilen istället för kort gäller det för bankerna att hänga med. Samsung, Apple eller Google kan ha muskler att starta en bank, men det är svårare för en bank att bli en mobiljätte.

Floppar

En framgångsrik betaltjänst behöver attrahera både handlare och kunder – och långt ifrån alla lyckas. Här är tre tjänster som tvingats kasta in handduken trots uppbackning från giganter på marknaden.

Bart

Precis som för det gamla Cash-kortet var Swedbank den drivande kraften bakom betaltjänsten Bart. Denna gång blev dock parentesen ännu kortare och trots att stora kedjor som Hemköp, Willys och Åhléns anslöt sig fick tjänsten som mest 20 000 användare. Bart fungerade genom att kassan fotograferade en QR-kod från mobilens skärm och det var möjligt att betala även när mobilen saknade uppkoppling.

Ericsson Money

Ericsson vänder sig sällan direkt till konsument med sina produkter, men Money-tjänsten som lanserades 2011 var ett undantag. Ericsson Money gjorde det möjligt att skicka pengar mellan användare via mobilen eller webben – oberoende av land och mobiloperatör. Det gick också att beställa ett betalkort kopplat till tjänsten. Ett knappt år efter lanseringen slängde Ericsson ut privatkunderna och stöpte om tjänsten till Ericsson Wallet Platform som mobiloperatörer kan erbjuda sina kunder under eget varumärke.

Wywallet

När mobiloperatörerna flyttade över SMS-betalningarna till ett eget bolag och införde krav på registrering slog både handlare och användare bakut. Hjälporganisationer uppgavs tappa över 90 % av intäkterna över en natt medan andra betalningsmottagare – till exempel länstrafikbolag – upprättade egna system där betalkort länkades till mobilnummer. Trots höga avgifter har Wywallet varit en förlustaffär för operatörerna – det gemensamt ägda bolaget har redovisat negativa resultat på tiotals miljoner varje år. För att bromsa flykten från SMS-betalningarna ändrades rutinerna så att alla som använde tjänsten blev registrerade automatiskt, men då var skadan redan skedd och Wywallet såldes till Payex 2015.

Tjänster som lyckats

Mobilen är en viktig komponent i flera betaltjänster världen över. Här är några som lyckats vinna kundernas gillande.

Paypal

Efter Visa och Mastercard är Paypal en av de få verkligt globala betaltjänsterna. Paypal har över 175 miljoner användare och hanterar 100 valutor på 200 olika marknader. Paypal var ett dotterbolag till Ebay mellan 2002 och 2014 och handlas idag på Nasdaq-börsen. Paypal möjliggör billiga betalningar mellan privatpersoner, men tjänsten är också vanlig som betalsätt i appar och webbutiker. I USA har Paypal dessutom lösningar för fysiska butiker – till exempel bluetoothsändaren Paypal Beacon och den Izettle-liknande terminalen Paypal Here.

Starbucks

Många kedjor har lojalitetsprogram och olika former av konton för sina kunder, men Starbucks spelar i en egen division när det gäller volymerna för mobila betalningar. Starbucks mobilapp fungerar som betalningsmedel på över 14 000 platser i USA, Kanada och Storbritannien och står för över 20 procent av transaktionerna. Tekniken är väldigt enkel – kassaapparaten läser en streckkod från mobilens skärm – och fungerar lika bra på Android som på Ios.

Paii/Swipp

Samma EU-regler och i stort sett samma mobiloperatörer, men trots det slapp danska SMS-betalare ett fiasko motsvarande Wywallet. Danska myndigheter gjorde en annan tolkning av registreringskravet och SMS-betalningar upp till motsvarande 275 svenska kronor kunde fortsätta precis som tidigare. Mobiloperatörerna sålde betalsystemet till ett bankkonsortium 2014 och tjänsten bytte namn från Paii till Swipp. Efter registrering kan man betala högre belopp och använda tjänstens app för att göra mobilbetalningar även i fysiska butiker.

Suica och Pasmo

Kontaktlösa kort är det viktigaste betalningsmedlet för kollektivtrafik, läskautomater, lunchrestauranger och närbutiker i Japan. Precis som det monumentalt misslyckade svenska Cash-kortet laddas själva plastkortet med pengar som du sedan kan spendera utan pinkod eller signatur. I Japan har man dock lyckats göra systemet relevant genom enkelheten. Vem som helst kan skaffa ett kort direkt ur en automat, ladda det med mynt, sedlar eller kort och hålla koll på saldot via appar på Android och Windows.