ja exakt. Det finns 2 varianter.
Swedbank kör varianten att inkoden är kontonumret när du lägger upp kontot som godkänt, och inkoden är beloppet när du slutför transaktionen.
Alla de med kort+TODOS-dosa (Nordea, Ica, Handelsbanken) har istället något som kallas för dynamisk riskvärdering, vilket innebär att challenge-koden innehåller en bitmask som säger om transaktionen är av högre risk, och då frågar dosan dig om belopp, kontonummer och sådant, och detta förändrar då svarskoden.
http://www.slideshare.net/peter_gull...urity-solution
Länsförsäkringar bank och jag tror SEB kör också med sådant system, är att allt du angett i transaktionen HMACas ner till ett challenge-värde, varav detta måste stämma. Har man ändrat i hidden-formuläret som innehåller transaktionen så är det ett annat challenge-värde som gäller och då gäller en annan svarskod, därför säger den fel svarskod i så fall.