Loading...

Vi ringer deg!

KOM I GANG

Registrer deg i skjemaet så kontakter vi deg snarlig

Er du klar for PSD2?

Shutterstock 223534042 Shutterstock 223534042 Placehoder

EUs nye betalingsdirektiv, PSD2 (Payment Service Directive), fikk ikke mye oppmerksomhet da det ble implementert i mai i fjor. Men den nye loven vil snart begynne å påvirke vår hverdag alt mer, og nettforhandlere som ikke oppfyller de nye sikkerhetskravene etter 14. september kan komme til å betale en dyr pris. Her er alt du trenger å vite for å få en grunnleggendeden forståelese av hva direktivet PSD2 er og hvilke konsekvenser det kan få for nettforhandlere.

Intensjonen med det nye betalingsdirektivet er dels å beskytte forbrukere fra svindel, men også å fremme innovasjon i betalinger og finansielle tjenester. For å stimulere innovasjonen har PSD2 fjernet bankenes monopol over kundens kortinformasjon. Dette betyr at bankkunder nå kan velge selv hvilke tredjepartsaktører som skal få tilgang til deres data og ha mulighet til å gjøre betalinger direkte fra kundens konto.

Takket være PSD2 får forbrukere full kontroll over sin egen kontoinformasjon og bankene er tvunget til å gi alle tredjepartsaktører som oppfyller de juridiske kravene, tilgang til sine plattformer via APIer.

Dette nye systemet, som også kalles «Open Banking», er fortsatt i sine tidlige stadier og de fleste observatører forventer at den eventuelle "boomen" av nye betalings og kontoinformasjonstjenester fortsatt er et par år unna. Allerede i septmeber i år, vil vi imidlertid se en mer konkret effekt av det nye direktivet

Krav på mer sikker betalingsgodkjennelse

For å forebygge svindel inneholder PSD2 nye sikkerhetsforeskrifter for digitale betalinger som trer i kraft 14 September. Kjernen i disse foreskriftene er det som kalles sterkt kundeautentisering eller SCA (strong customer authentication) og sikker kommunikasjon.

Kravene for å oppfylle sikker kommunikasjon påvirker primært den underliggende betalingsinfrastrukturen og vil ikke merkes av forhandlere eller forbrukere. Kravene til sterkere kundeautentisering vil derimot påvikre nettforhandlere og forbrukere på en mer direkte måte.

Hva er sterkt kundeautentisering?

I praksis betyr sterkt kundeautentisering at kunder er nødt til å identifisere seg ved å bruke minst to av følgende faktorer når de skal betale digitalt eller logge inn på deres bankkonto:

  • Kunnskap: Noe som kun kunderne vet om, for eksempel et passord eller en PIN-kode.
  • Eiendel: Noe som kunderne eier, slik som en mobiltelefon eller et kort.
  • Unik egenskap :Noe som er direkte koblet til kundene, for eksempel biometriske funksjoner slik som ansiktsgjenkjenning eller fingeravtrykk.

Dette betyr at forbrukerne i praksis ikke lenger kan gjøre betalinger på nettet ved å kun bruke sin kortinformasjon. I stedet blir de nødt til å verifisere deres identitet med en bankapp som er kobblet til telefonen og krever et passord eller fingeravtrykk for å godkjenne kjøpet.

Det finnes imidlertid noen transaksjoner som ikke vil påvirkes av SCA-reglene. Ordrer som er gjort via e-post og over telefon er ikke underlagt SCA, heller ikke det som kalles merchant initiated transactions (MIT). MIT er en transasksjon som er initiert av selgeren i stedet for kortinnehaveren, for eksempel når et hotell lagrer kortinformasjon og belaster gjesten for minibarens utgifter etter at de har sjekket ut.

Unntak fra SCA kravene

For å forenkle for så vel forbrukere som forhandlere finnes det noen transaksjoner som kan få unntak fra kravet om sterk kundeautentisering. Det er imidlertid viktig å huske at alle transaksjoner som kan få unntak, ikke per automatikk får det. For korttransaksjoner for eksempel, er det den kortutstedende banken som avgjør hvis unntaket skal bli godkjent eller ikke. Det finnes derfor ingen garanti for at kunden skal slippe å gjøre en sterkt kundeautentisering.

  • Transaksjoner med lav verdi

Dette vil sannsynligvis være det mest brukte unntaket. Unntaket sier at hvis en kunde foretar et kjøp under 30 euro, kan de unnslippe å gjøre en sterkt kundeautentisering. Dette unntaket er imidlertid begrenset, hvis en kunde gjør fem slike transaksjoner på rad eller oppnår en verdi som overstiger 100 euro, vil det alltid være nødvendig med sterk kundeautentisering.

  • Abonnementer

En annen transaksjonstype som kan få unntak fra SCA er abonnementsbetalinger hvor summen av hver enkelt transaksjon er den samme. For disse transaksjonene vil sterk kundeautentisering kun kreves når kunden først registrerer seg for abonnementet og ikke for hvert enkelt transaksjon.

  • Risikoanalyse

Det kan også gjøres unntak basert på noe som kalles "transakjsonsrisikoanalyse". Dette betyr at en betalingsleverandør, slik som Bambora, kan få unntak for transaksjoner som anses være av lav risiko, basert på kravene i PSD2s tekniske standarder. Dette unntaket har en grense når det gjelder transaskjonsverdi og kan bare brukes dersom leverandøren av betalingstjenesten har en tilstrekkelig lav svindelsats for den aktuelle transakjsonstypen.

  • Hvitlisting

Den siste typen av unntak kalles “hvitlisting av mottakere". Hvitlisting innebærer at en forbruker kan registrere visse betalingsmottakere som "pålitlige" via sin kortutstedende bank. Ved å gjøre det trenger de ikke å utføre kundeautentisering når de betaler til disse mottakerne.

Hva nettforhandlere må gjøre for imøtekomme kravene til PSD2

Den 14 september i år vil disse kravene tre i kraft for alle digitale betalinger i Europa. Akkurat nå jobber banker, betalingstjenester og kortnettverk for å finne tekniske løsninger som oppfyller kravene til PDS2. For å motta betalinger etter 14 september må du som nettforhandler sørge for at disse tekniske løsningene fungerer sammen med nettbutikken din.

For å motta betalinger fra de største kortnettverken, Visa og Mastercard, vil det kreves at du har implementert sikkerhetsløsningen 3D Secure for nettbutikken din. 3D Secure har blitt brukt helt siden 2001 for å forbedre sikkerheten for digitale korttransaksjoner, men det er nå blitt utviklet en ny versjon som også kan håndtere unntakene i PSD2.

Bambora har tidligere anbefalt alle kunder til å bruke 3D Secure, siden det bidrar til å forhindre svindel og beskytter bedriftseiere for økonomiskt tap i tilfelle de ville blitt rammet av svindel. Fra 14 September vil det også være et krav for å kunne motta betaling fra Mastercard og Visa-kort. For deg som nettbutikkeier er det derfor viktig å sørge for at din betalingsleverandør har implementert 3D Secure.

For kunder som bruker Bamboras løsninger for betalinger på nett, Bambora Checkout, Bambora Online eller Payform, vil denne overgangen være totalt sømløs. Før 14 september vil 3D Secure bli implementert for alle våre online-selgere, slik at de kan fortsette å motta kortbetalinger.