PSD2: Hvad betyder stærk autentificering?

Det andetbetalingstjenestedirektiv(også kaldet PSD2) har medført nye regler for e-handel. En vigtig del heraf erstærk kundeautentificering(på engelsk kaldetStrong Customer Authentification, SCA), som betyder større sikkerhed for e-handlere og forbrugere.

I denne guide gennemgår vi, hvad stærk kundeautentificering er, og hvad man som e-handler skal tænke på. PSD2-direktivet er komplekst, men det giver flere fordele for konverteringen, hvis man sætter sig ind i det.

Stærk kundeautentificering er en standardiseret måde til at sikre, at forbrugeren er den, som vedkommende udgiver sig for at være og dermed er berettiget til at benytte den anvendte betalingsmetode. Den mindsker risikoen for e-handleren og for forbrugerens bank.

For at et køb kan gå igennem skal forbrugeren kunne forevise mindst to af følgende tre ting

E-handlere skal anvende 3D Secure 1 eller 3D Secure 2 i forbindelse med størstedelen af alle transaktioner i Europa. Fra og med den29. december 2020vil 3D Secure 1 blive udfaset, og så vil e-handlere, som ikke allerede har gjort det, være nødt til at overgå til 3D Secure 2.

3D Secure er ikke nyt for de fleste. Det kan være en tryghed for e-handlere at anvende 3D Secure. Når forbrugeren har legitimeret sig, overtager banken nemlig risikoen for købet – så hvis det skulle vise sig, at købet var svindel, slipper e-handleren for at håndtere tilbagebetalingskravet.

Desværre påvirker 3D Secure konverteringen. Ofte skal man oplyse en kode eller et password, afhængigt af hvilken bank man har, for at legitimere sig. Har man ikke lige oplysningerne ved hånden, kan købet ikke gennemføres. I Danmark har det været relativt nemt at legitimere sig medNemID, men virksomheder, der sælger til resten af Europa, ved, at lande som Tyskland og Frankrig har haft langt dårligere konvertering med 3D Secure.

Desuden er 3D Secure ikke integreret i checkouten. I stedet omdirigeres brugeren, hvilket resulterer i en dårligere kundeoplevelse. Handler man på mobilen, kan oplevelsen være endnu dårligere, da 3D Secure er udviklet til computere.

Derfor har kortnetværkets beslutningsorganEMVCo, som står bag 3D Secure, udviklet en opdateret version: 3D Secure 2. Den nye version er mobiltilpasset og lader forbrugerne legitimere sig med biometri for at opnå større konvertering.

Der findes ingen regel uden undtagelse, og det passer godt på PSD2‘s SCA-krav. Tommelfingerreglen for, hvilke køb der påvirkes af kravet, er som følger:

Men der findes ingen regel uden undtagelse, og det passer godt på PSD2‘s krav om stærk kundeautentificering. Visse køb omfattes ikke af direktivet, hvilket betyder, at man ikke bør anvende 3D Secure på dem. Andre køb kan man anmode om at få undtaget fra kravet for at optimere konverteringen.

3D Secure 2 gør det nemmere at modtage betalinger på nettet og vil blive den nye standard, når 3D Secure 1 begynder at blive udfaset i slutningen af 2020.

Visse køb fungerer ikke sammen med 3D Secure og er derfor undtaget for kravene i direktivet. Ved disse køb kan man vælge at anvende 3D Secure, men det vil ikke være nogen risikoovergang, hvilket betyder, at banken ikke overtager risikoen.

MOTO-transaktioner.Bestillinger foretaget via post og telefon (Mail Order and Telephone Order, MOTO) er altid undtaget 3D Secure. MOTO-transaktioner opfattes ikke som elektroniske betalinger, derfor de er ikke omfattet af reglen.

Interregionale transaktioner.Betalinger, hvor udstederen eller indløseren af kortet ikke har base i Europa, er også undtaget. Det betyder, at det med den nye regel ikke vil være noget problem at tage imod betalinger i Europa fra ikke-europæiske kunder. Selv om der ikke er nogen regel, der kræver det, kan kortudstedere alligevel behandle internationale europæiske og internationale ikke-europæiske transaktioner på samme måde og anmode om, at de også verificeres med tanke på risikohåndtering.

Virksomhedskort.Betalinger, som udføres med virksomhedskort, er ikke omfattet af reglerne, og 3D Secure er ikke nødvendigt.

Automatiske debiteringer (såkaldte 'merchant initiated transactions').Betalinger, hvor kunden ikke er til stede ved købet, er ikke omfattet af direktivet, fx abonnementer og afbetalinger.

Udover at visse køb ikke bliver påvirket af reglerne, så er der også undtagelser. Som e-handler skal man anmode om at få disse køb undtaget – det sker ikke automatisk. I dette tilfælde behøver man ikke anvende 3D Secure, men banken overtager heller ikke risikoen. Banken kan afbryde undtagelsen, hvis den anser købet for usikkert.

Positivliste over e-handlere.En kunde kan vælge at tilføje e-handlere til en positivliste. Hvis en kunde fx bestiller mad via en app hver uge, kan forbrugeren anmode om at slippe for 3D Secure.

Køb under 300 kroner.Mindre køb påvirkes i mindre grad. Disse undtagelser er knyttet til kunden og ikke til e-handleren. Det betyder, at hvis en kunde har gennemført fire køb under 300 kroner hos fire forskellige forhandlere, så vil banken kræve stærk autentificering ved det femte køb, selvom det er det første køb, som kunden gennemfører hos denne e-handler.

Lavrisikokøb.Transaktioner med lav risiko er også undtaget fra stærk autentificering. Muligheden, for at en betaling anses for at udgøre en lav risiko, er baseret på det gennemsnitlige svindelniveau hos kortudstederen og den indløser, som håndterer transaktionen. Hvis anmodningen om undtagelse kommer fra e-handleren eller betalingsleverandøren, overføres risikoen ikke. Hvis anmodningen om undtagelse kommer fra banken, så overtager denne risikoen.