Del
Deadlines, udsættelse og udrulning. I dette blogindlæg finder du opdateret information om indførelsen af stærk kundeautentificering og udfasningen af 3D Secure 1.
Hvordan påvirker PSD2, SCA og 3D Secure e-handlen?
PSD2, også kaldet det reviderede betalingstjenestedirektiv, er et EU-direktiv med det formål at øge sikkerheden omkring betalinger på nettet. PSD2 dækker mange forskellige områder inden for betalinger og banktjenester. En vigtig del af PSD2 er stærk kundeautentificering(på engelsk kaldet strong customer authentification, SCA)
Stærk kundeautentificering eller SCA handler om sikkerhed. Kortudstedende banker skal kræve data på, at kunden er den, som vedkommende udgiver sig for at være. Hvis dette ikke lykkes, afbrydes købet.
Branchestandarden for en sådan dataudveksling kaldes for 3D Secure. Der findes to forskellige standarder for 3D Secure, version 1 og version 2. Det betyder, at e-handlere skal tilbyde en eller anden type 3D Secure, for at købet går igennem.
SCA skal skabe sikrere betalinger på nettet
Indførelsen af SCA som en del af PSD2 har set forskellig ud på forskellige markeder. Og det er også forskelligt fra bank til bank. Visse lande har besluttet at udsætte kravet om SCA, hvilket rent praktisk betyder, at 3D Secure ikke kræves, for at alle køb skal gå igennem. Derimod kan visse banker kræve SCA, selv om landets lovgivning ikke kræver det. Derfor anbefaler Adyen alle virksomheder, som modtager betalinger på nettet i Europa, at være klar med den seneste version af 3D Secure 2.
3D Secure 2 har flere fordele end 3D Secure 1. 3D Secure 2 giver f.eks. højere konvertering til e-handlere, en mere ukompliceret oplevelse for brugeren og mere data til den kortudstedende bank. Fra og med den29. december 2020begynder Visa og Mastercard at udfase 3D Secure 1.
PSD2-dato: Disse datoer skal du have styr på
Det kan være kompliceret at sætte sig ind i PSD2, SCA og 3D Secure, da alle lande og kortudstedere håndterer kravene på forskellig vis.
Adyen håndterer altid 3D Secure dynamisk. Det betyder, at Adyens betalingsplatform tilpasser sig efter beredskabet hos forbrugerens kortudstedende bank. Afhængigt af banken igangsættes 3D Secure 1 eller 2. For dansk e-handel betyder det, at man med fordel kan bruge 3D Secure 2, men at en tilbagevendende kunde kan falde tilbage på 3D Secure 1, hvis beredskabet hos banken er lavt.
Vigtige datoer for PSD2
Information fra kortnetværket
| Kortudstedere / kortnetværk | Vigtige markeder | Syn på SCA |
|---|---|---|
| Mastercard | De fleste debetkort i Sverige er co-brandede Mastercard. | Mastercard forventer, at alle e-handlere har et beredskab med 3D Secure 2 efter den 1. juli 2020. Udover dette følger de tidsplaner, som hvert EU-land har lagt (yderligere oplysninger herom længere nede). |
| Visa | Visakortet udstedes af banker som Nordea, Danske Bank og Jyske Bank. I Norge og Danmark er alle debetkort co-brandede Visa og Mastercard. | Visa forventer, at alle banker, som udsteder Visakort, har beredskab til 3D Secure 2 efter den 14. marts 2020. Den 1. juli 2020 indførte Visa et gebyr for e-handlere for køb, som opgives pga. 3D Secure 1. Efter den 14. september 2020 forventer Visa, at alle e-handlere er klar med 3D Secure 2. |
| American Express | American Express eller Amex udsteder egne kort over hele verden. | Amex vil leve op til kravene om SCA fuldt ud efter den 31. december 2020. |
| Dankort | Dankort er vores indenlandske kortnetværk. Dankort er co-branded med Visa, men behandles i første omgang som Dankort. | Dankort vil kræve SCA fra og med den 31. december 2020. |
| BankAxept | BankAxept er Norges indenlandske kortnetværk. Norge har valgt at acceptere PSD2 i sin egen lovgivning, på trods at landet ikke er medlem af EU. | Reglerne for stærk kundeautentificering gælder i Norge, men virksomheder kan bede om undtagelse herom. Da BankAxept-kort er co-branded med Visa gælder reglerne for Visa i Norge. |
| JCB | JCB er et japansk kortnetværk. De har ikke kommunikeret deres syn på PSD2, SCA eller 3D Secure. | |
| Cartes Bancaire | Cartes Bancaire er Frankrigs indenlandske kortnetværk. | De vil indføre s.k. 'soft declines’ frem til deadlinen for SCA i Frankrig, hvilket er den 31. marts 2021. |
| Diners / Discover | Diners og Discover er amerikanske debet- og kreditkort. | De vil indføre s.k. 'soft declines’ efter den 14. oktober 2020 på transaktioner, som ikke lever op til SCA. |
| UnionPay | UnionPay er et kinesisk kortnetværk. De har ikke kommunikeret deres syn på PSD2, SCA eller 3D Secure. |
SCA i Sverige og det øvrige Europa
Adyens undersøgelse Retailbarometeret fra 2019 viste, at kun 23 procent af alle nordiske virksomheder var klar til PSD2 inden den 14. september 2019 – bagefter Tyskland, Spanien, Frankrig og Italien.
Nordiske virksomheder oplyste, at de ikke var klar til PSD2
Trods det harFinanstilsynetmeddelt, at Danmark følger EU’s anbefaling om at indføre kravet om stærk kundeautentificering fra og med den 14. september 2019. Det betyder, at danske banker skal rette sig efter kravet om at kræve stærk kundeautentificering. På nuværende tidspunkt oplever vi, at der er et fornuftigt beredskab hos kortudstedende banker til at tage imod 3D Secure 2 som standard.
For virksomheder med internationalt salg er det vigtigt at vide, hvilke lande der giver bankerne udsættelse med at indføre kravet om SCA. Se hvordan hvert land forholder sig til kravet om SCA.
| Land | Kommentar |
|---|---|
| Belgien | Reglerne gælder fra den 14. september 2019 med visse undtagelser. Belgien vil implementere reglerne fuldt ud inden den 31. december 2020. |
| Danmark | I Danmark kommer reglerne for SCA til at gælde efter den 31. marts 2020. Bemærk dog, at Dankort, vores største kortnetværk, vil kræve SCA allerede efter den 31. december 2020. |
| Finland | I Finland har reglerne for SCA været gældende siden den 30. december 2020. |
| Frankrig | Frankrig indfører reglerne fra den 31. marts 2021. |
| Grækenland | I Grækenland har reglerne for SCA været gældende siden den 30. december 2020. |
| Irland | Ingen tidsramme oplyst |
| Italien | I Italien har reglerne for SCA været gældende siden den 30. december 2020. |
| Litauen | Ingen tidsramme oplyst |
| Luxemburg | I Luxembourg har reglerne for SCA været gældende siden den 30. december 2020. |
| Malta | I Malta har reglerne for SCA været gældende siden den 30. december 2020. |
| Holland | I Holland har reglerne for SCA været gældende siden den 30. december 2020. |
| Norge | I Norge har reglerne for SCA været gældende siden den 30. december 2020. |
| Polen | Ingen tidsramme oplyst |
| Slovenien | I Slovenien har reglerne for SCA været gældende siden den 30. december 2020. |
| Spanien | I Spanien har reglerne for SCA været gældende siden den 30. december 2020. |
| Storbritannien | I Storbritannien vil reglerne træde i kraft efter den 14. september 2021. |
| Tyskland | I Tyskland har reglerne for SCA været gældende siden den 30. december 2020. |
| Ungarn | I Ungarn har reglerne for SCA været gældende siden den 14. december 2020. |
| Østrig | I Østrig har reglerne for SCA været gældende siden den 30. december 2020. |
Vær klar, når 3D Secure 1 udfases
Dette skal virksomheder gøre for at sikre efterlevelse af reglerne:
- Forstå, hvordan kravet om SCA påvirker sin virksomhed
- Læg en strategi for, hvordan man skal håndtere de gældende undtagelser
- Implementer 3D Secure 2
Almindelige spørgsmål og svar om PSD2, Strong Customer Authentification og 3D Secure 2
Vil 3D Secure 2 blive et krav?
På sigt vil 3D Secure 1 blive udfaset. Kortnetværk, kortudstedende banker og lovgivningen presser på for at udfase 3D Secure 1. Da det kan være svært at holde øje med alle ændringer, der sker, anbefaler Adyen dynamisk 3D Secure, der automatisk registrerer, om 3D Secure skal vises eller ej, samt om 3D Secure 2 skal anvendes.
Sådan kan dynamisk 3D Secure lette håndteringen af PSD2
Automatiseret håndtering af PSD2 og SCA
Reducer andelen af afbrudte køb ved hjælp af automatiseret håndtering af PSD2, SCA og 3D Secure.
Læs mereFindes der en tommelfingerregel for, hvilke køb der bliver påvirket?
Alle onlinekøb, som gennemføres med kort, hvor forhandleren eller kortindløseren har base i Europa, kan kræve stærk kundeautentificering (Strong Customer Authentification, SCA).
Findes der nogle køb, som ikke er omfattet af direktivet?
Formålet med SCA-kravet er at sikre, at det rent faktisk er kortindehaveren, der gennemfører købet. I visse tilfælde er dette ikke muligt, f.eks. ved køb der gennemføres med virksomhedskort, ved løbende abonnementer, eller køb der gennemføres telefonisk. Disse transaktioner er ikke omfattet af direktivet. Forhandleren kan vælge at anvende 3D Secure, men banken overtager ikke risikoen.
Der findes dog undtagelser, som forhandlere eller forbrugere kan anmode om. Ved køb under 300 kroner kan forhandleren bede den kortudstedende bank om ikke at anvende 3D Secure. Forbrugere kan også vælge at sætte en forhandler på en ”positivliste”, efter de har gennemgået 3D Secure én gang.
Hvad er forskellen på køb, som ikke er omfattet af direktivet, og undtagelserne?
Ved køb, som ikke er omfattet af direktivet, vil den kortudstedende bank aldrig bede om 3D Secure, og de vil heller ikke overtage risikoen, selvom kunden gennemgår 3D Secure.
Ved undtagelser er der stadig en mulighed for, at brugeren skal igennem 3D Secure. I dette tilfælde overtager den kortudstedende bank risikoen.
Læs mere om undtagelser, og hvordan man kan håndtere dem (ska va länk här till blogginlägg om vad stark autentisering är)
Flere lande har valgt at udrulle direktivet i forskellige faser for at give forhandlere og banker mere tid til at tilpasse sig de nye regler. Bemærk dog, at 3D Secure vil blive udfaset efter den29. december 2020og skal erstattes af 3D Secure 2.
Skriv dig op til vores nyhedsbrev
Jeg bekræfter, at jeg har læst Adyens politik om databeskyttelse, og jeg accepterer, at mine oplysninger anvendes i overensstemmelse hermed.