Patentbesvärsrättens avgöranden


Register över Patentbesvärsrättens mål och avgöranden från 1989 till och med den 31 augusti 2016.
För äldre avgöranden, kontakta Stockholms tingsrätts arkiv.

14-159
2016-08-15
-
Patent på "Säkra finansiella transaktioner"
2014-12-23
-
-
0950453-1
2014-11-05
-
-
G06Q20/00, G06Q20/40
Uppfinningshöjd; Tekniska Särdrag; Icke-tekniska särdrag
Nummergenerator; Kassaanordning; Kommunikationsgränssnitt; Lagringsenhet; Processor; Extraherare; Jämförelsemedel
2 § patentlagen (1967:837)
patent
avslag
intressant
sökande
NET 1 UEPS TECHONOLOGIES, INC
Henrik Hägglöf
-
-
-
-
Ett system för bearbetning av en säker finansiell transaktion, ett SIM-kort och en mobiltelefon ansågs inte skilja sig väsentligen från känd teknik.
-
DOMSLUT

Patentbesvärsrätten avslår överklagandet.

REDOGÖRELSE FÖR SAKEN OCH FRAMSTÄLLT YRKANDE

Sedan NET 1 UEPS TECHONOLOGIES, INC (NET 1 UEPS) fullföljt den internationella patentansökan PCT/IB2007/054678 avseende ”Secure financial transactions”, i svensk översättning ”Säkra finansiella transaktioner”, avslog PRV ansökningen. PRV fann i det överklagade beslutet att uppfinningen enligt patentkraven inte skiljde sig väsentligen från vad som är känt genom WO 03038719 A1 (D1) eller US 2001056409 A1 (D2). PRV nämnde i sitt beslut även EP 1265202 A1 (D3) och US 6163771 A (D4).

Uppfinningen

Patentansökans beskrivning innehåller bl.a. följande om uppfinningen.

Uppfinningen hänför sig till elektroniska finansiella transaktioner. Enligt uppfinningen så är generellt ett primärt kontonummer ("PAN") emulerat eller simulerat för ett konventionellt konto eller kreditkonto hos en bank eller annan finansiell institution, vilket inkorporerar, i krypterad form, det faktiska kontonumret. Det simulerade PAN kan också inkorporera en summa som ska debiteras från kontot. Därmed krypteras och passas ett kontonummer och en summa till en sträng av siffror vilka framträder som ett giltigt PAN. Det faktiska kontonumret och transaktionssumman är därmed inbäddad i det simulerade PAN. Det simulerade PAN behandlas sedan av existerande finansiell transaktionsinfrastruktur, där den utförande banken vet att det inte är ett PAN och vilka lämpliga siffror som ska dekrypteras för att erhålla det inbäddade kontonumret och den inbäddade summan. I en tillämpning önskar en transaktör att påverka en finansiell transaktion, generera ett simulerat PAN och tillhandahålla det till en leverantör av varor eller tjänster av vilken han önskar att köpa nämnda varor eller tjänster. Leverantören matar in det simulerade PAN och summan för transaktionen på ett konventionellt sätt. Dessa data skickas sedan till en förvärvande bank vilken vidarebefordrar den till den utfärdande banken för auktorisering. Den utfärdande banken extraherar sedan det inbäddade kontonumret och den inbäddade summan, kontrollerar att den inbäddade summan och den tillhandahållna summan är lika (så väl som andra konventionella kontroller), och om de är lika auktoriserar transaktionen. Personer med kännedom om området kommer att inse att det, i de flesta exempel, krävs att en transaktör tillhandahåller ett utgångsdatum och ett kortverifieringsvärde ("CVV"). Någon eller bägge av dessa kan också simuleras och användas för att kryptera information. Vidare så kommer personer med kännedom om området att inse att ett bankidentifieringsnummer ("BIN") tillhandahålls i första delen av PAN och så kommer även att vara fallet med det simulerade PAN.

Det kommer således inses att säkerheten i synnerhet vid internet- och telefontransaktioner kommer att förbättras med hjälp av uppfinningen.

Därmed tillhandahålls enligt en första aspekt av uppfinningen en finansiell transaktionsnummergenerator för att generera ett unikt transaktionsnummer, där transaktionsnumret simulerar ett konventionellt kredit- eller kontokorts primära kontonummer och inkorporerar ett kontonummer för en transaktör.

Yrkande

NET 1 UEPS har i Patentbesvärsrätten vidhållit sin patentansökan med ändrade patentkrav inkomna den 9 mars 2015.

Uppfinningen definieras av de självständiga patentkraven 1, 4 och 10 enligt följande.

1. Ett system för bearbetning av en säker finansiell transaktion, innefattande:

a) en finansiell transaktionsnummergenerator som är konfigurerad att ta emot en transaktionssumma och som svar på mottagande av en transaktionssumma generera ett krypterat simulerat primärt kontonummer PAN som simulerar ett konventionell kredit- eller betalkorts kontonummer och som innefattar ett kontonummer för en betalare, kontonumret lagras av generatorn;

b) en kassaanordning arrangerad att ta emot det simulerade primära kontonumret och transaktionssumman och som svar på mottagande av transaktionssumman och det simulerade primära kontonumret vidarebefordra transaktionssumman och det simulerade primära kontonumret till ett kommunikationsgränssnitt hos en utfärdande bank;

c) ett kommunikationsgränssnitt hos en utfärdande bank arrangerat att motta en begäran från kassaanordningen, tillsammans med det simulerade kontonumret, att godkänna betalningen av ett belopp;

d) en lagringsenhet hos den utfärdande banken som lagrar tidigare mottagna simulerade PAN;

e) en processor hos den utfärdande banken arrangerad att verifiera att det simulerade PAN inte tidigare har används av betalaren och då det verifierats dekryptera det simulerade PAN; och

f) en extraherare hos den utfärdande banken arrangerad att extrahera från det dekrypterade simulerade PAN det konventionella kredit- eller betalkorts PAN, betalarens kontonummer och transaktionssumman;

h) jämförelsemedel hos den utfärdande banken arrangerat att jämföra om transaktionssumman i det simulerade PAN är samma som den mottagna transaktionssumman; och varvid kommunikationsgränssnittet är vidare arrangerat att auktorisera en inlösande bank och en handlare att slutföra den säkra finansiella transaktionen om summan i det simulerade PAN är samma som den mottagna summan.

4. Ett SIM-kort (18) arrangerat att generera ett simulerat PAN, primärt kontonummer, varvid nämnda SIM-kort (18) är konfigurerad för att lagra en betalares kontonummer, ett BIN (Bank Identification Number, BIN,) och en krypteringsalgoritm, och vidare är konfigurerad att motta ett transaktionsbeloppet, varvid nämnda SIM-kort (18) vidare är konfigurerad för att generera, som svar på mottagande av transaktionsbeloppet, det simulerade PAN baserad på nämnda lagrade betalares kontonummer, lagrat BIN och mottagna transaktionsbeloppet, där den simulerade PAN innehåller BIN och ett krypterat sekvens av siffror där betalarens kontonummer och transaktionsbeloppet är inbäddade.

10. En mobiltelefon (10) som innefattar SIM-kortet (18) enligt något av kraven 4 till 9.

Grunder och utveckling av talan

NET 1 UEPS har som grund för talan hållit fast vid att uppfinningen enligt patentkraven har nyhet och uppfinningshöjd.

Till utveckling av talan har NET 1 UEPS i Patentbesvärsrätten anfört bl.a. följande.

Patentkravet 1 är nytt i förhållande till D1 bl.a. genom att D1 inte visar ett system innefattande en finansiell transaktionsnummergenerator som är arrangerad att generera som svar på mottagande av en transaktionssumma ett krypterat simulerat primärt kontonummer PAN som simulerar ett konventionellt kredit- eller betalkorts kontonummer och som innefattar ett kontonummer för en betalare.

Transaktionsnummergeneratorn enligt krav 1 är konfigurerad att ta emot "transaktionssumman" och som svar på mottagande av en transaktionssumma generera ett krypterat simulerat primärt kontonummer PAN.

I D1 är en nummergenerator förvisso konfigurerad att generera ett nummer men det finns i D1 ingen koppling mellan mottagande av transaktionssumman och genererandet av PAN. I stället, enligt prior art, är generatorn konfigurerad att generera ett nummer helt oberoende av mottagande eller icke mottagande av en transaktionssumma. I känd teknik är generatorn alltså inte konfigurerad att generera ett nummer som svar på mottagande av en transaktionssumma.

Det är alltså inte bara informationen i PAN som är ny, det är det tekniska särdraget att generatorn är konfigurerad att som svar på mottagandet av transaktionssumman generera PAN. Detta är i allra högsta grad ett tekniskt särdrag som kräver att systemet innefattar ny funktionalitet. Detta nya tekniska särdrag har som effekt att numret kan innehålla transaktionssumman. Detta möjliggör i sin tur att genomföra en säker transaktion då transaktionssumman senare extraheras från PAN och jämförs med den transaktionssumma som också skickas med i transaktionsinformationen.

Patentkrav 1 är även nytt i förhållande till D1 genom att D1 inte visar ett system innefattande en kassaanordning arrangerad att ta emot det simulerade primära kontonumret och transaktionssumman och som svar på mottagande av transaktionssumman och det simulerade primära kontonumret vidarebefordra transaktionssumman och det simulerade primära kontonumret till ett kommunikationsgränssnitt hos en utfärdande bank.

I D1 är en anordning förvisso konfigurerad att skicka ett genererat nummer men det finns i D1 ingen koppling mellan mottagande av transaktionssumman och PAN och att vidarebefordra transaktionssumman och PAN.

Det är alltså inte bara typen av information som kassaanordningen skickar till den utfärdande banken som är ny, det är det tekniska särdraget att kassaanordningen är konfigurerad att skicka (vidarebefordra) information till den utfärdande banken som svar på mottagande av information. Detta är i allra högsta grad ett tekniskt särdrag som kräver att kassaanordningen innefattar ny funktionalitet. Detta nya tekniska särdrag har som effekt att PAN och transaktionssumman kan vidarebefordras.

Därför är flertalet av särdragen i krav 1 tekniska då de bidrar till det patentsöktas tekniska karaktär genom att orsaka en teknisk effekt. Därför ska dessa tas med vid bedömning av nyhet och uppfinningshöjd.

D1 anses vara närmast kända teknik. Såsom visats är patentkravet 1 nytt i förhållande till vad som beskrivs i D1 bl.a. genom att D1 inte visar ett system innefattande en finansiell transaktionsnummergenerator som är arrangerad att generera som svar på mottagande av en transaktionssumma ett krypterat simulerat primärt kontonummer PAN. D1 visar inte heller ett system innefattande en kassaanordning arrangerad att ta emot det simulerade primära kontonumret och transaktionssumman och som svar på mottagande av transaktionssumman och det simulerade primära kontonumret vidarebefordra transaktionssumman och det simulerade primära kontonumret till ett kommunikationsgränssnitt hos en utfärdande bank.

Dessa nya särdrag möjliggör ett komplett system arrangerat att hantera att ett kontonummer och ett belopp läggs in som en sträng av siffror som verkar vara en giltig PAN. Det faktiska kontonumret och transaktionsbeloppet är således inbäddade i en sträng av siffror som verkar vara en giltig PAN.

Således, är ett objektivt problem som löses genom de kännetecknande särdragen i patentkravet 1 att uppnå ett säkert sätt att utföra en transaktion.

Fackmannen, när denne studerar D1 i ljuset av allmänna kunskaper och ställs inför problemet med hur man ska uppnå ett säkert sätt att utföra en säker transaktion, finner ingenstans i D1 ledning att ändra systemet enligt D1 på ett sätt så att systemet i krav 1 uppnås. Snarare löser D1 ett annat problem på olika sätt. D1 beskriver en metod för att genomföra en finansiell transaktion, som genererar ett transaktionsnummer som kan användas för frisläppande av en betalning. I motsats till syftet med föreliggande uppfinning innehåller transaktionsnumret enligt D1 inte kontonumret för betalaren. Nummergeneratorn i D1 är inte arrangerad att som svar på ett belopp generera ett nummer. Det är mycket tydligt att i D1 är transaktionen en funktion av användar-ID etc. Detta betyder inte att användar-ID, användarens permanenta kortnummer etc. ingår i transaktionens ID och säkerligen betyder det inte att användar-ID etc. kan extraheras från transaktions-ID. Det som visas i D1 är att användar-ID etc. används som grund för en algoritm som sedan genererar transaktions-ID med hjälp av användar-ID etc. som utgångspunkt. D1 visar heller inte att användarens kontonummer ingår i listan som utgör bas för skapandet av numret.

Därför är det i D1 inte arrangerat för att betalaren ska kunna överföra transaktionsnumret till handlaren och handlaren överföra det till den utfärdande banken. Den utfärdande banken kan inte avgöra identiteten på betalaren genom transaktionsnumret och kan därför inte identifiera det kontonummer betalaren använder. Av denna anledning är det i systemet enligt D1 nödvändigt att betalaren skickar transaktionsnumret samtidigt direkt till den utfärdande banken tillsammans med ett användar-ID. Vid den utfärdande banken tilldelas numret som betalaren skickar rätt användar-ID och betalningen genomförs genom användning av användar-ID så att rätt konto belastas. Om återförsäljaren nu sänder samma transaktionsnummer till banken, genom jämförelse av de två transaktionsnumren kan betalningen frigöras efter en kontroll. Detta innebär att ett befintligt system i en butik inte kan användas eftersom handlaren måste sända transaktionsnumret till banken.

Det faktum att transaktionsnumret inte kodar användarspecifika kontonummer i D1 presenteras som en fördel i D1. Ett tiosiffrigt transaktions-ID har fler variationsmöjligheter, om ingen användarspecifik identifierare måste kodas in. Således leder D1 bort från uppfinningen.

I avsnitt 43 i D1 nämns det att transaktionen är en funktion av användarspecifika och/eller transaktionsspecifika parametrar, såsom ett användar-ID, ett permanent kortnummer, ett utgångsdatum eller liknande, men det betyder inte att kontonumret för betalaren ingår i transaktionsnumret så att det kan extraheras på nytt vid den finansiella institutionen. Tvärtom, i D1 nämns det att detta inte är möjligt, så att ett mer komplicerat transmissionssteg från betalaren riktat till den finansiella institutionen är nödvändigt för att tillåta motsvarande användaridentifiering.

En annan stor skillnad mellan uppfinningen och D1 är att det i D1 inte finns möjlighet att ange ett transaktionsbelopp. Detta leder till att en kontroll inte kan göras med avseende på detta av banken. Beloppet anges av handlaren, så att missbruk är möjligt. I själva verket ger D1 inte fackmannen något annat val än att välja en lösning som presenteras däri.

Därför har krav 1 uppfinningshöjd över D1.

DOMSKÄL

Enligt fast praxis anses en uppfinning föreligga endast om det patentsökta har teknisk karaktär. Det som anges i ett patentkrav har teknisk karaktär om patentkravet innehåller något explicit angivet tekniskt särdrag och/eller något implicit tekniskt särdrag (teknisk aspekt) som något eller några tekniska eller icke-tekniska särdrag i patentkravet ger upphov till. Det spelar ingen roll om de relevanta särdragen eller aspekterna bidrar till att det patentsökta skiljer sig från känd teknik eller inte, eftersom det som ska bedömas är om helheten hos det i patentkravet definierade har teknisk karaktär. Angående hithörande frågor, se Patentbesvärsrättens domar i mål nr 04-329 och 09-215.

För att något som har teknisk karaktär ska vara patenterbart krävs härutöver att vissa ytterligare villkor är uppfyllda, bl.a. att det patentsökta är nytt samt att det skiljer sig väsentligen från känd teknik, dvs. har uppfinningshöjd. Vid bedömning av om nyhets- respektive uppfinningshöjdsvillkoret är uppfyllt kan bara sådana särdrag som bidrar till den tekniska karaktären beaktas. Se härtill det europeiska patentverkets (EPO) besvärskammares avgöranden T 1543/06, T 336/07 samt T 154/04 och det däri citerade avgörandet G2/88 från EPO:s stora besvärskammare samt Patentbesvärsrättens domar i mål nr 04-329 och 09-215.

Patentbesvärsrättens bedömning

Uppfinningen enligt patentkravet 1 avser ett system för bearbetning av en säker finansiell transaktion. Systemet innefattar explicit angivna tekniska särdrag i form av en nummergenerator, en kassaanordning, ett kommunikationsgränssnitt, en lagringsenhet, en processor, en extraherare och jämförelsemedel. Dessutom anges explicit som funktionella tekniska särdrag att nummergeneratorn ska vara konfigurerad att kunna generera ett nummer som svar på mottagande av ett värde (transaktionssumma) och lagra ett andra nummer (konventionellt kontonummer); att kassaanordningen ska vara arrangerad att kunna ta emot det genererade numret och värdet och som svar på detta mottagande vidarebefordra dessa till kommunikationsgränssnittet; att kommunikationsgränssnittet ska vara arrangerat att kunna ta emot en begäran från kassaanordningen, tillsammans med det genererade numret; att lagringsenheten ska vara utformad att kunna lagra mottagna genererade nummer; att processorn ska vara arrangerad att kunna dekryptera det genererade numret; att extraheraren ska vara arrangerad att kunna extrahera värdet och andra uppgifter från det dekrypterade simulerade numret.

Utöver de nämnda tekniska särdragen innehåller patentkravet 1 endast icke-tekniska särdrag vilka anger förfarandesteg i en finansiell transaktion. Att exempelvis ett genererat nummer bara dekrypteras om det verifierats att det inte använts tidigare är en administrativ åtgärd liksom att ett extraherat värde jämförs med ett mottaget värde för att vid överensstämmelse auktorisera en bank att genomföra en transaktion.

De icke-tekniska särdragen, dvs. de administrativa åtgärderna i patentkrav 1 kan åstadkommas, som det får förstås, genom att systemet har processorer som är programmerade för att kunna utföra de tekniska funktioner (implicita tekniska särdrag) som krävs för att genomföra de administrativa åtgärderna.

Uppfinningen enligt patentkrav 1 uppfyller kravet på teknisk karaktär eftersom systemet enligt detta patentkrav innefattar tekniska särdrag som ger systemet enligt det självständiga patentkravet som helhet teknisk karaktär. Det återstår att bedöma om uppfinningen enligt patentkraven uppfyller övriga patenterbarhetsvillkor.

Av den teknik som anförts i målet får den som är känd genom dokument D1 anses vara den teknik som kommer uppfinningen enligt patentkrav 1 närmast.

I D1 beskrivs sätt att förbättra säkerheten vid kortköp. Som känd teknik beskrivs (stycke [05]-[12]) system och förfaringssätt där man använder sig av för ändamålet särskilt genererade kortnummer, ”engångskortnummer”, avsedda att användas för endast en transaktion. En användare kan generera ett engångskortnummer. Genereringen kan utföras som en funktion av transaktionsspecifika uppgifter så som användarens permanenta kortnummer, transaktionssumman etc. Engångskortnumret kan vara sådant att det för handlaren ser ut att vara ett giltigt kreditkortsnummer. En del av siffrorna i engångskortnumret är en kod (MAC, message authentication code) som skapats av transaktionsspecifika uppgifter med en kryptografisk hash-funktion. Engångskortnumret överförs sedan till handlaren som behandlar det som ett vanligt kortnummer. Under fasen för godkännande av betalningen sänder handlaren en begäran om godkännande till den utfärdande banken. Begäran innefattar ett transaktionsnummer och andra transaktionsspecifika uppgifter. Om den utfärdande banken identifierar transaktionsnumret som ett engångskortnummer används en del av numret till att identifiera användaren. Den utfärdande banken skapar då också en kod, MAC, som en funktion av kund- och transaktionsspecifika uppgifter och användarens privata nyckel. Hash-funktionen som då används ska vara samma som användaren använde för att skapa sin MAC i engångskortnumret. Om den utfärdande bankens MAC överensstämmer med den som finns i engångskortnumret så accepterar den utfärdande banken begäran och transaktionen bearbetas internt med användarens permanenta kortnummer. Vid svar till handlaren används engångskortnumret i stället för det permanenta kortnumret. Om handlaren eller någon annan försöker använda samma nummer igen kommer transaktionen inte att tillåtas av den utfärdande banken. För att den utfärdande banken ska kunna förhindra att samma engångskortnummer används igen krävs att använda engångskortnummer lagras och jämförs med nya engångskortnummer som ska användas. För fackmannen som tar del av D1 är det självklart att ett system enligt D1 innefattar en lagringsenhet för lagring av använda engångskortnummer som den utfärdande banken sedan kan använda för jämförelse med engångskortnummer som används vid en kommande transaktion.

Eftersom värdet (transaktionssumman) enligt den beskrivna tekniken i D1 kan ingå i det simulerade numret måste generatorn erhålla detta värde för att kunna utföra genereringen och då sker genereringen som svar på att värdet tagits emot. Detta överensstämmer med vad som i ansökan anges om hur transaktionssumman används vid genereringen.

I D1 anges att den utfärdande banken förser användaren med kontonummer och privat nyckel vilka kan finnas i en användardatabas. Det genererade engångskortnumret är sedan en funktion av bl.a. användarens kontonummer (se styckena [08] och [09]). Fackmannen som tar del av denna information inser att kontonumret lagras av en lagringsanordning som tillhör generatorn.

I D1 anges att engångskortnumret skickas till en handlare vilket måste jämställas med att numret tas emot av vad som får anses utgöra en kassaanordning. Att handlaren ska mata in transaktionssumman i vad som får betecknas som en kassaanordning innan denna summa översänds till den utfärdande banken tillsammans med engångskortnumret får anses vara klart för fackmannen som tar del av D1.

Vad som anges i patentkravet 1 i form av explicit angivna tekniska särdrag skiljer sig från vad som angivits som känt genom D1 därigenom att systemet ska vara utformat så att det genererade numret ska kunna dekrypteras samt att värdet och andra uppgifter ska kunna extraheras från det dekrypterade genererade numret.

Genom dessa skillnader erhålls ett alternativt system till det som är känt genom D1 där skillnaderna bidrar till enkelhet och säkerhet vid överföringen.

Att kryptera och dekryptera information vid överföring för att uppnå säkerhet är ett naturligt val för fackmannen. Att dekryptera och extrahera överförda uppgifter är en logisk följd av att man bäddat in och krypterat uppgifter för att uppnå säkerhet.

För fackmannen som vill åstadkomma ett alternativt system till systemet enligt D1 vad avser enkelhet och säkerhet, är det mot denna bakgrund närliggande att utforma den kända tekniken så att det genererade numret kan dekrypteras samt att värdet och andra uppgifter kan extraheras från det dekrypterade genererade numret. Fackmannen skulle därmed komma fram till samtliga i patentkravet 1 explicit angivna tekniska särdrag.

Det framgår inte att den implementering i systemets hårdvara (processorer) av de tekniska funktioner som krävs för att åstadkomma de icke-tekniska särdragen kräver några tekniska överväganden utöver vad som krävs för vanlig programmering. Därför kan denna implementering inte anses bidra till någon uppfinningshöjd (jfr EPO:s besvärskammares avgöranden T 1543/06 och T 336/07).

Mot denna bakgrund skiljer sig inte det som anges i patentkrav 1 väsentligen från den anförda kända tekniken.

Vad som anges i övriga självständiga patentkrav skiljer sig inte heller väsentligen från känd teknik av motsvarande skäl, i tillämpliga delar, som anförts vid bedömningen av patentkrav 1.

Mot denna bakgrund kan överklagandet inte bifallas.

ANVISNING FÖR ÖVERKLAGANDE, se bilaga 2 (Formulär A)

I avgörandet har deltagit patenträttsråden Peter Strömberg, ordförande, Stefan Svahn, referent och Anders Brinkman. Enhälligt.

EE
Visa mer Visa mindre