Ideen bag det nye direktiv er dels at beskytte forbrugerne mod svig, men også at fremme innovation i betalings- og andre finansielle tjenester. For at stimulere innovation, har PSD2 fjernet bankens monopol over deres kunders kontooplysninger, og bankkunder kan nu give tredjepartsleverandører adgang til deres kontooplysninger og dermed muliggøre at indlede betalinger direkte fra deres konto. På den måde giver PSD2 forbrugerne fuld kontrol over deres egen kontoinformation, og bankerne er tvunget til at give tredjepartsleverandører, der opfylder de lovmæssige krav, adgang til deres platforme via API'er.
Dette nye system, i daglig tale kaldet Open Banking, er stadig på et tidligt stadie, og de fleste observatører forventer, at den planlagte "boom" af nye betalings- og kontooplysningstjenester stadig ligger et par år ude i fremtiden. Dog vil vi allerede i september se en mere håndgribelig virkning af det nye direktiv.
Stærkere betalingssikkerhed
For at forhindre svindel, indeholder PSD2 nye sikkerhedsforskrifter for digitale betalinger, der træder i kraft den 14. september. Kernen i disse regler er, hvad der kaldes ”strong customer authentication” (SCA), såsom sikker kommunikation. Kravet om sikker kommunikation påvirker primært den underliggende betalingsinfrastruktur og vil ikke være synlig for den almene forhandler eller forbruger. Kravene til ”strong customer authentication” påvirker på den anden side online-forhandlere og forbrugere på en meget mere direkte måde.
Hvad er stærk kundeautentificering?
På et rent praktisk niveau betyder stærk kundeautentificering, at kunderne skal identificere sig ved at bruge mindst to af følgende tre faktorer, når de foretager digital betaling eller logger ind på deres bankkonti:
• Viden:
Noget, som kun kunden ved, som et kodeord eller en pinkode.
• Besiddelse:
Noget, som kunden ejer, som en telefon eller et kort.
• Inhærent
Noget som kunden "er", for eksempel biometriske funktioner som ansigts-genkendelse eller fingeraftryk.
Det betyder, at forbrugerne i praksis ikke længere kan foretage en kortbetaling online ved kun at bruge oplysningerne på deres kort. I fremtiden skal de for eksempel bekræfte deres identitet på en bank-app, der er forbundet til deres telefon, og der kræver et kodeord eller fingeraftryk for at godkende købet.
Der er dog nogle transaktioner, hvor SCA-reglerne ikke anvendes ved. Ordrer placeret via e-mail og via telefon er ikke underlagt SCA-regler samt forhandlerinitierede transaktioner (MIT). En MIT er en transaktion initieret af forhandleren i stedet for kortindehaveren, for eksempel når et hotel lagrer kortoplysninger og opkræver gæsten for deres minibar-udgifter, efter de har tjekket ud.
Undtagelser fra SCA
For at gøre tingene lettere for både forhandlere og forbrugere, tillader PSD2 visse undtagelser af stærk kundeautentificering. Det er dog vigtigt at bemærke, at alle transaktioner, der kvalificerer sig til en fritagelse, ikke automatisk vil blive fritaget. I tilfælde af korttransaktioner er det for eksempel kortudstedende bank, der beslutter, om en fritagelse er godkendt eller ej. Så selvom en transaktion kvalificerer sig til en undtagelse, kan kunden stadig forlanges en stærk kundeautentificering, hvis kortudstedende bank vælger at kræve det.
• Lav transaktionsværdi
Denne undtagelse vil højst sandsynligt være den hyppigst anvendte. Fritagelsen siger, at hvis en kunde foretager et køb for under 30 euro (knap 230kr.), kan de fritages fra at foretage en stærk kundegodkendelse. Denne fritagelse er dog begrænset, hvis en kunde foretager fem sådanne transaktioner i træk, eller når værdien på købet er på mere end 100 euro (knap750kr.) – så kræves der altid en stærk kundeautentificering.
• Abonnementer
En anden type transaktion der kan fritages, er tilbagevendende abonnementsbetalinger, hvor summen for hver transaktion er den samme. For disse transaktioner kræves kun en stærk kundeautentificering, når kunden tilmelder sig abonnementet, og ikke for hver enkelt transaktion.
• Risikoanalyse
Undtagelser kan også foretages ud fra en såkaldt transaktionsrisikoanalyse. Det betyder, at en betalingstjenesteudbyder som Worldline kan få undtagelser for transaktioner, der anses for at være "lav risiko" baseret på kravene i PSD2's tekniske standarder. Denne undtagelse har en grænse for transaktionsværdien og kan kun anvendes, hvis udbyderen af betalingstjenester har en tilstrækkelig lav svindelsats for den pågældende type transaktion.
• ”Hvidliste”
En sidste type fritagelse kaldes hvidlistede modtagere. ”Hvidlistning” betyder, at en forbruger kan registrere visse betalingsmodtagere som "betroede" via deres kortudstedende bank. Ved at gøre dette, behøver de ikke at udføre en stærk kundeautentificering, når de betaler til den specifikke modtager.
Hvad skal forhandlerne så gøre for at overholde PSD2?
Den 14. september vil disse regler træde i kraft for alle digitale betalinger i Europa. Banker, betalingstjenesteudbydere og kortnetværk arbejder lige nu på de tekniske løsninger, således at kravene til PSD2 kan overholdes.
For at acceptere betalinger efter d. 14. september, skal du sørge for, at disse tekniske løsninger fungerer sammen med din webshop. For at kunne acceptere betalinger fra verdens største kortnetværk, Visa og MasterCard, kræves det, at du har implementeret sikkerhedsløsningen 3D Secure i din webshop. 3D Secure er blevet brugt siden 2001 for at forbedre sikkerheden for online korttransaktion, men nu er der udviklet en ny version, der også kan håndtere kravene i PSD2.
Worldline har tidligere anbefalet alle vores kunder at bruge 3D Secure, da det hjælper med at forhindre svindel og samtidig beskytter forhandleren fra ansvar i tilfælde af svindel. Fra d. 14. september er dette også et krav for overhovedet at kunne acceptere betalinger fra MasterCard og Visa. For dig som forhandler er det derfor vigtigt at sikre dig, at din betalingstjenesteudbyder har implementeret for 3D Secure. For kunder, der bruger
Worldlines løsninger til online betalinger, vil Worldline Checkout, Worldline Online og Payform være fuldstændig problemfrit. Før den 14. september gennemfører vi 3D Secure opsætninger for alle vores online-forhandlere, så de kan fortsætte med at acceptere kortbetalinger, ganske som det plejer.