Loading...

Vi ringer deg!

KOM I GANG

Registrer deg i skjemaet så kontakter vi deg snarlig

Hva skjer med PSD2 og SCA i 2020?

Hero sca article 2 Hero sca article 2 Placehoder

April 2020

PSD2 (Payment Services Directive), er det nye EU-direktivet som ble innført 14. september 2019. European Banking Authority har imidlertid forlenget fristen for kravet om at sterk kundeautentisering (SCA) må implementeres for alle betalinger på nett, frem til 31. desember 2020. Vi har oppsummert hva du som kjøpman trenger å vite for å være klar for de nye reglene.

Ny dato

14. september 2019 ville sterk kundeautentisering (SCA - Sterk kundeautentisering) være obligatorisk for alle elektroniske betalinger innen EU, men allerede i løpet av sommeren kom det indikasjoner på at dette ikke ville være tilfelle. European Banking Authority (EBA) uttalte allerede i juni at de var bekymret for hvordan SCA-kravet ville påvirke netthandelen. Det viste seg at mange, både kjøpmenn, kortutstedere og betalingstjenesteleverandører, ikke var klare til å implementere SCA for alle online-betalinger. For å unngå negative konsekvenser, bestemte EBA seg derfor for å la nasjonale myndigheter forlenge SCA-fristen for online-betalinger, noe alle europeiske land også har gjort. I oktober 2019 kunngjorde EBA en ny dato for fristen da alle aktører må være klare for SCA-kravet: 31. desember 2020.

2020 - et forberedelse-år

For hele økosystemet knyttet til betalinger på nett, vil 2020 i stor grad dreie seg om forberedelser til SCA. Disse forberedelsene handler fremfor alt om at kjøpmenn og betalingstjenesteleverandører må implementere støtte for den industri-standardiserte 3D Secure Protocol for alle kortbetalinger som er berørt av SCA-kravet. Som kjøpmann er det derfor viktig å sikre at både din innløser og din betalingstjeneste leverandør (ofte kalt PSP) er klare til å håndtere 3D Secure innen 31. desember 2020, for ikke å risikere at transaksjonene blir avvist av kortutstedere.

Unntak og transaksjoner som ikke blir berørt

Et av de mest omdiskuterte aspektene av SCA-kravet gjelder transaksjonstyper som ikke er berørt av kravet og unntakene som kan gjøres i henhold til betalingstjenestedirektivet, PSD2. De typer transaksjoner som ikke blir berørt av kravet, er de som rett og slett ikke er en del av det nye direktivet, for denne typen av transaksjoner blir SCA ikke et krav. Disse kalles "Out of Scope". Det finnes også transaksjonstyper som er klassifisert som unntak, der betalingen fortsatt påvirkes av direktivet, men hvor kjøpmenn sammen med sin innløser, eller kortutstederen, kan be om et unntak for SCA for den aktuelle transaksjonen. Disse fritatte transaksjonene kalles ”Exemptions”. For både "Out of Scope" og ”Exemptions” er det forskrifter for når de forskjellige unntakene kan brukes.

De vanligste typene av betalinger som regnes som "Out of Scope" eller ”Exemptions”, er betalinger med lave summer og abonnementstjenester. Unntaket for betalinger med lave summer er relativt ukomplisert: innløseren kan be kortutstederen om at en transaksjon skal unntas hvis beløpet er under € 30. Hvis kortutstederen ikke godkjenner unntaket, må kunden fortsatt implementere SCA via 3D Secure. Hvis unntaket blir godkjent, vil kjøpet bli fullført uten at sluttkunden får et spørsmål om 3D Secure. Dette kalles en friksjonsfri betaling.

Regelverket angående abonnementstjenester og lagrede kort, der kjøpmannen noen ganger innleder betalingen, kan oppfattes som litt mer komplisert. Den grunnleggende regelen er at en kunde bare trenger å gjennomføre SCA når kortet skal lagres og abonnementsbetalinger registreres for første gang. Hvis det gjøres riktig, kan alle påfølgende betalinger foretas uten at kunden får et 3D Secure spørsmål. For at dette skal fungere, må imidlertid transaksjoner flagges riktig i samsvar med regelverket for betalinger med lagrede kortopplysninger.

Historisk sett har mange abonnementstjenester og løsninger med lagrede kortopplysninger og tilbakevendende betalinger i bransjen sett annerledes ut enn i dag, da regelverket er endret for å gjenspeile kravene som finnes på en bedre måte. Derfor bør alle kjøpmenn som tilbyr tilbakevendende betalinger på nett, være ekstra oppmerksomme på at transaksjoner blir håndtert på riktig måte for ikke å risikere avviste transaksjoner. I dette tilfellet kan både betalingstjenesteleverandøren (PSP) og innløseren håndtere regelverket for betalinger med lagrede kort og abonnementstjenester, slik at disse transaksjonene kan være gyldige i henhold til PSD2-direktivet med ”Exemptions” og ”Out of Scope” og dermed ikke risikere å bli avviste av kortutstedere ved gjentatte kjøp.

En ny versjon av 3D Secure

3D Secure har blitt brukt som en ekstra sikkerhetsfunksjon for betaling over nettet i mange år, men har noen ganger blitt oppfattet som komplisert av kortkundene. For å underlette håndteringen av SCA-reglene, og for å forbedre brukeropplevelsen for kortkundene, har bransjeorganisasjonen EMVco, som eies av kortnettverkene, produsert en ny versjon av 3D Secure, ofte kalt 3D Secure 2 eller EMV 3DS. I dag er kun EMV 3DS 2.1 tilgjengelig, men høsten 2020 vil versjon 2.2 bli introdusert, noe som vil gjøre det mulig å tilby enda bedre håndtering av unntak i 3DS-strømmen med støtte for flere funksjoner for å implementere en friksjonsfri betaling.

I 2020 vil både denne nye versjonen av 3D Secure og den forrige versjonen 1.0 være gyldig. Bamboras anbefaling er imidlertid å bytte til 3D Secure 2.0 så snart som mulig, da dette underletter for kundene og fordi den nye versjonen før eller senere vil bli et krav fra kortnettverkene.
For kunder som bruker Bamboras online betalingsløsning, Bambora Checkout, vil overgangen fra 1.0 til 2.0 imidlertid skje helt sømløst. Vi vil implementere 3D Secure 2.2 med alle våre online kunder for å gjøre det enklere å foreta friksjonsløse betalinger.