Är du redo för PSD2?

Tanken med det nya direktivet är delvis att skydda konsumenter mot bedrägerier, men även att främja innovationer kring betalningar och finansiella tjänster. Genom PSD2 har bankerna därför förlorat sitt monopol över kundernas kontoinformation. Bankkunder kan nu själva välja vilka tredjepartsleverantörer som ska få tillgång till deras data och initiera betalningar direkt från deras konto.

Tack vare PSD2 får konsumenten därmed full kontroll över sin egen kontoinformation och bankerna måste - via API:er - ge alla tredjepartsleverantörer som uppfyller de lagmässiga kraven tillgång till sina plattformar.

Det här nya systemet, som även kallas Open Banking, befinner sig fortfarande i sin linda och de flesta förväntar sig att det kommer ta några år innan vi ser den avsedda ”boomen” av nya betaltjänst- och kontoinformationsleverantörer. Redan i september i år kommer vi dock märka av en mer direkt effekt av det nya direktivet.

Krav på säkrare betalningar

För att förebygga bedrägerier innehåller PSD2 även nya säkerhetskrav för digitala betalningar som börjar gälla 14 september. Kärnan i de nya säkerhetskraven, som listas i PSD2s tekniska standard, är det som kallas stark kundautentisering eller SCA (strong customer authentication) och säker kommunikation.

Kraven på säkrare kommunikation handlar primärt om den bakomliggande infrastrukturen och är inte något som konsumenter eller handlare kommer märka av. Kraven på stark kundautentisering kommer däremot påverka e-handlare och konsumenter på ett mer direkt plan.

Vad är stark kundautentisering?

Rent praktiskt innebär den starka kundautentiseringen att kunden måste identifierar sig med hjälp av minst två av följande faktorer vid alla digitala betalningar eller inloggningar på sitt bankkonto:

• Kunskap
  Något som endast kunden vet, exempelvis ett lösenord eller en pin-kod.
• Innehav
  Något som kunden har, exempelvis ett kort eller en telefon.
• Unik egenskap
  Något som kunden är, exempelvis biometriska funktioner som ansiktsform eller fingeravtryck.

Ett konkret exempel på en sådan autentisering är signering med Mobilt BankID som kräver att du skriver in ett lösenord eller identifierar dig med fingeravtryck på en telefon som är knuten till dig. Dessa nya regler innebär, i praktiken, att det inte längre kommer vara möjligt att genomföra en kortbetalning online med endast dina kortuppgifter.

Det finns dock vissa transaktioner som inte kommer påverkas av dessa regler. Beställningar gjorde över mejl eller telefon kommer inte behöva stark kundautentisering och inte heller det som kallas merchant initiated transactions (MIT). MIT är transaktioner som initieras av handlaren istället för kortinnehavaren och ett exempel på detta är att hotell kan lagra dina kortuppgifter för att initiera en betalning för de varor du tagit i minibaren efter att du checkat ut.

Undantag från kraven

För att underlätta för både konsumenter och handlare medger PSD2 även att vissa transaktioner kan undantas från kravet på stark kundautentisering. Det är dock viktigt att komma ihåg att alla transaktioner som kan undantas inte per automatik blir undantagna. För korttransaktioner, till exempel, är det den kortutgivande banken som bestämmer om dessa undantag skall godkännas eller inte. Att ett köp passar in under ett undantag är därmed ingen garanti för att kunden ska slippa genomföra en stark kundautentisering, eftersom den kortutgivande banken kan välja att kräva detta ändå.

• Små belopp
  Det undantag som troligen kommer vara det mest använda gäller betalningar på små summor. Detta innebär att kunder som gör köp på under 30 euro kan slippa göra en stark kundautentisering. Detta undantag är dock begränsat och om kunden gör fem sådana betalningar på rad eller når en total summa på över 100 euro så kommer en stark autentisering alltid krävas.
• Prenumerationer
  En annan transaktionstyp som kan undantas är prenumerationsbetalningar, där en stark kundautentisering bara krävs när kunden tecknar själva prenumerationen och inte vid varje efterföljande betalning. Detta förutsatt att betalningen är för samma summa varje gång.
• Riskanalys
  Undantag kan även göras med hjälp av det som kallas ”transaktionsrisksanalys”. Detta innebär att en betaltjänstleverantör, exempelvis Bambora, kan få göra undantag för de transaktioner som bedöms utgöra ”låg risk” utifrån de kriterier som slagits fast i PSD2:s tekniska standard. Detta undantag gäller dock bara upp till ett visst belopp och kan endast göras om betaltjänstleverantören har en tillräckligt låg bedrägerifrekvens för den aktuella typen av transaktion.
• Vitlistning
  En sista undantagstyp är det som kallas ”vitlistade” betalningsmottagare. ”Vitlistning” innebär att konsumenter kan ange vissa betalningsmottagare som betrodda hos sin kortutgivande bank och därmed behöver kunden inte genomföra en stark autentisering vid betalning till just den mottagaren.

Vad behöver handlare göra för att följa PSD2?

Den 14 september kommer dessa regler träda i kraft för alla digitala betalningar inom Europa. Just nu pågår arbetet hos både banker, betaltjänstleverantörer och kortnätverk för att ta fram tekniska lösningar som uppfyller säkerhetskraven inom PSD2. För att kunna ta emot betalningar även efter 14 september gäller det därför att du som handlare ser till att dessa lösningar kan användas i din e-handel.

För att kunna ta emot betalningar från världens största kortnätverk, Visa och Mastercard, kommer det krävas att du har implementerat säkerhetslösningen 3D Secure för din webbshop. 3D Secure har använts sedan 2001 för att öka säkerheten på onlinebetalningar men nu har man även utvecklat en ny version som gör det möjligt att hantera undantagen från stark kundautentisering.

Bambora har sedan tidigare rekommenderat alla handlare att implementera 3D Secure eftersom lösningen hjälper till att förebygga bedrägerier och dessutom skyddar handlaren om ett bedrägeri skulle ske. Från och med den 14 september kommer dock 3D Secure vara ett krav för att kunna ta emot europeiska betalningar med Visa- och Mastercard-kort på nätet. För dig som handlare gäller det därför att säkerställa att din betalväxel har stöd för 3D Secure.

För de kunder som använder Bamboras lösning för online-betalningar, Bambora Checkout, kommer denna omställning dock ske helt sömlöst. Vi kommer innan den 14 september implementera 3D Secure hos alla våra online-kunder för att de ska kunna fortsätta ta emot kortbetalningar.