¿Cómo funciona la autorización de tarjeta de crédito?

Esto no es tanto una pregunta de autorización como una pregunta de fraude. El defraudador está aprovechando la condición fuera de línea conocida para incurrir en una deuda que no pretende pagar.

Como explicamos en una respuesta anterior, hay dos fases en el uso de una tarjeta de crédito. La primera fase es la autorización, donde el comerciante entrega la información de la cuenta y el monto de la transacción a su procesador de pagos. El procesador se pone en contacto con el "banco emisor", que emitió la tarjeta al cliente. El banco examina la cuenta del cliente, se asegura de que el límite de crédito sea lo suficientemente alto, que las facturas se paguen a tiempo, ese tipo de cosas, y cree su aprobación en forma de un número generado al azar, llamado código de aprobación. Este número es una prueba de que la autorización se realizó en el banco y es la señal de que el banco está dispuesto a aceptar el riesgo de que esta transacción no sea pagada en el futuro por el titular de la tarjeta. El código de aprobación se envía al comerciante, quien lo imprime en el recibo.

En la segunda fase, el proceso de liquidación es donde el comerciante envía las transacciones del día al procesador de pagos, y esto incluirá todas las transacciones, tengan o no códigos de aprobación. Como parte de la liquidación, todo el dinero de todas esas transacciones, incluidas las transacciones no aprobadas, se transferirá de los bancos a la cuenta del comerciante. (Los procesadores negocian estos intercambios por una tarifa).

El comerciante (en este caso, la aerolínea) puede estar dispuesto a aceptar el riesgo de realizar transacciones de crédito sin autorización. Por lo general, una aerolínea solo tendría pequeñas transacciones por bienes y servicios en vuelo (unos pocos dólares por bebidas alcohólicas, alquiler de películas o quizás una actualización más costosa a primera clase). No es una cantidad que ponga en riesgo su negocio, y la cantidad total de dinero perdido por el fraude en vuelo puede ser menor que el costo de tener terminales de autorización de crédito en vuelo. Cuando aceptan estas transacciones, están fuera de línea y, obviamente, no pueden obtener un código de aprobación del banco. Al final del vuelo, la aerolínea los envía a todos a su procesador para el pago.

Más tarde, el banco emisor enviará una factura a la persona y le pedirá que pague su deuda. Si se niega, el banco analizará la transacción y dirá "esto vino de Pseudo Payment Processors, que la obtuvo de Mythical Airlines, pero nunca les dimos un código de aprobación que dijera que autorizamos el cargo". El banco emitirá una "devolución de cargo" al procesador, quien a su vez pasará la devolución de cargo a la aerolínea. Un contracargo es simplemente una solicitud para devolver el dinero. Como no tienen un código de aprobación como prueba, recibieron la autorización del banco para realizar la transacción, el dinero sale del bolsillo de la aerolínea y la aerolínea no recibe pago por los bienes y servicios que proporcionaron en el vuelo. La aerolínea puede entonces intentar cobrar el dinero de otra manera.

No se equivoque: tomar la mercancía mientras tergiversa la intención de pagar por ella cumple con la definición legal de fraude. La persona "en la siguiente mesa" era un ladrón.

Este artículo de ayuda de Yahoo explica es bastante agradable Como se explica allí, el procesamiento del pago con tarjeta de crédito se realiza en dos fases: autorización (obtención de la aprobación de la transacción que se almacena con el pedido) y liquidación (procesamiento de la venta, que se transfiere los fondos del banco emisor a la cuenta del comerciante).

Pondré la imagen de autorización de ese sitio:

En las transacciones offline o manual (que es el término oficial para las transacciones que no se procesan en línea), los pasos 2, 3, 4 y 5 se procesan de forma asíncrona. Es decir: los pasos 1 y 6 se procesan, y más adelante, los pasos 2, 3, 4 y 5 se procesan (a menudo por lotes). El riesgo financiero se encuentra en la tienda comercial (a menos que se acuerde lo contrario entre el banco emisor y el comerciante).

Primero, permítame comenzar diciendo que puede o no ser ilegal que su amigo haga esto, pero se pondrá al día con él. El vendedor todavía tiene su información y una factura y todavía puede recopilarla. El simple hecho de que estaba sobregirando la tarjeta no significa que no tenga que pagar cuando se le rastree.

De forma similar, puede que le cueste más dinero que la cantidad de tarjetas que cobran por superar su límite de crédito, pero aún así puede permitir transacciones que se produjeron sin poder verificarlo, solo le cobran una tarifa adicional.

En cuanto a la pregunta de seguridad real sobre cómo se verifica la tarjeta, depende del tipo de tarjeta. Si es una tarjeta de banda magnética simple, entonces hay un algoritmo de verificación que puede ejecutar una suma de comprobación en los detalles de la tarjeta y asegurarse de que el número de la tarjeta esté en una forma válida, pero no puede decir con seguridad que es una tarjeta válida.

Para chip y pin, la tarjeta realmente firma una transacción. Se guarda una clave secreta en su tarjeta y es inaccesible para el mundo exterior. Cuando realiza un pago, los detalles de la transacción se envían al chip en la tarjeta y su pin se ingresa en la tarjeta. Luego, el chip utiliza esta información para generar un identificador que el comerciante puede usar para probar que tenía la tarjeta y que el monto de la transacción no se modificó.

En ambos casos, no hay ninguna validación de que sea una cuenta válida a menos que se pueda contactar al banco emisor. En realidad, es totalmente posible hacer una tarjeta falsa que pasará las pruebas de validación de banda magnética y lo más probable es que también sea posible para el chip y el pin, pero en realidad no estaría ligada a ninguna cuenta en el mundo real. Esto es posible porque la seguridad alrededor de las tarjetas no es tanto para garantizar que la tarjeta sea válida como para asegurar que la tarjeta sea a) correctamente leída yb) presente y utilizada por un titular autorizado en el caso de chip y Pin transacciones.

El sistema de tarjeta de crédito no funciona sin que finalmente se comunique con la red para colocar los cargos, por lo que la validación de que el número es válido solo se maneja en ese momento. (En teoría, es posible construir un sistema de chip y pin con una autoridad de firma que pueda validar las claves utilizadas por los bancos para verificar que el chip y el pin estén válidamente vinculados a una cuenta de crédito, pero no creo que esto se haya hecho realmente. Mi conocimiento de chip y pin es un poco débil, ya que no lo tenemos en los estados).