Lördagen den 14 september kommer det krävas stark kundautentisering vid många typer av betalningar, inklusive betalningar vid e-handel. I praktiken innebär detta att det i vissa fall inte är tillräckligt att ange bara kortnummer och CVC/CVV-kod för betalning.
När de nya reglerna träder i kraft måste kunder vid vissa typer av betalningar istället göra en så kallad SCA (Strong customer authentication – Stark kundautentisering). SCA innebär en tvåfaktorsautentisering där minst två av följande 3 faktorer krävs:
- Något du vet – t.ex. ett lösenord
- Något du har – t.ex. en mobiltelefon
- Något du är – t.ex. ett fingeravtryck
Reglerna gäller för vissa typer av betalningar inom EU/EES – de 28 EU-länderna samt Norge, Island och Liechtenstein. Detta innebär höjda säkerhetskrav vid handel både offline och online och gäller alltså för e-handlare. I och med detta kommer SCA att krävas oftare än vad det gjorts tidigare.
Som e-handlare bör man vara förberedd och känna till denna ändring, när tidsfristen att följa EU-direktivet PSD2 (Payment Service Directive 2) löper ut den 14 september. PSD2 verkställs i Sverige genom Betaltjänstlagen och de nya reglerna syftar till att minska risken för bedrägerier. I praktiken innebär det här att man som e-handlare behöver ha stöd för 3D secure 2.0, den 14 september 2019. Detta inkluderar även de som tidigare inte använt 3-D Secure 1.
3-D Secure 2.0 stödjer PSD2 och SCA
Att hålla hög säkerhet, förebygga bedrägerier och samtidigt ha en trevlig kundupplevelse har varit ett problem för många e-handlare. 3-DS 2.0 (3-D Secure) är en vidareutveckling av version 1. Den första versionen av 3D secure har fått en del kritik av e-handlare. Detta framförallt på grund av att den försämrar användarens upplevelse av betalningen då man dirigeras till bankens sida för att skriva in lösenord. Framförallt i mobiltelefoner kan detta vara en riktig konverteringsdödare. Med version 1 var lösenordet ett statiskt lösenord man var tvungen att komma ihåg.
EMVCo som ägs av VISA, MasterCard, American Express, Discover, JCB och UnionPay utvecklar specifikationen för 3-D Secure 2.0. Om du redan har 3D-Secure idag innebär 3D-Secure 2 en förbättrad upplevelse för kunder. Användargränssnittet är mer anpassat till moderna plattformar. Allt kommer ske i e-handlarens miljö istället för omdirigering med popup-fönster. Det kommer också gå att använda exempelvis BankID med biometri såsom fingeravtryck eller ansiktsigenkänning. Den nya versionen kommer också göra smartare beslut för när extra interaktion av användaren krävs och när betalningen kan vara helt friktionslös.
Vad innebär det för e-handlare
- Säljer ni något som kräver SCA måste det finnas stöd för detta vid betalning.
- Om ni eller er betaltjänstleverantör inte följer de nya reglerna kan betalningar komma att nekas.
- Om ni använder en tredjepartsleverantör för betalning och har 3-D secure aktiverat behöver ni troligen inte göra någonting för att 3D Secure 2 ska fungera. Har ni en egen lösning, exempelvis med egna formulär, för betalning måste ni se till att det finns stöd för scenarion med SCA.
- En kontakt med representant på er e-handelsplatform och betaltjänstleverantör kan vara att rekommendera för information och eventuella frågetecken.
Vad innebär det för konsumenter/e-handlarnas kunder
- I vissa fall behöver man aktivera 3D Secure på sitt kreditkort eller debetkort – detta görs hos kortutgivaren. Alla kreditkort och debetkort stödjer inte 3D Secure, men i och med denna regeländring kommer det med stor sannolikhet att införas.
- Var beredd på att BankID kan komma att krävas vid handel online. Mobilt BankID eller säkerhetsdosa bör finnas tillgängligt.
- Var säker på att du kan din PIN-kod till kortet. Behöver man ett nytt kreditkort eller debetkort är det rekommenderat att jämföra kreditkort när det kommer till kostnad och funktion.
Betalningar då SCA krävs
De tillfällen där stark kundautentisering kommer gälla inom EU/EES är betalningar på internet, i butik och betalning med mobila enheter, klockor, ringar etc. Beroende på vad man säljer krävs SCA exempelvis vid:
- Retail och fysiska produkter: SCA krävs.
- Prenumerationer, abonnemang, medlemskap: SCA krävs vid den första transaktionen.
Några undantag för SCA gäller exempelvis vid:
- Postorder, telefonorder (Mail order Telephone Order, MOTO)
- Betalningar då konsumenten är utanför EU/EES.
- Enskilda transkationer på under 30 euro, upp till sammandlagt 100 euro eller 5 transaktioner.