PSD2: hva betyr sterk autentisering?

Det reviderte betalingstjenestedirektivet (også kalt PSD2) har medført nye regler for e-handel. En viktig del av dette ersterk kundeautentisering(en: Strong Customer Authentication, SCA), som innebærer økt sikkerhet både for e-forhandleren og forbrukerne.

I denne guiden gjennomgår vi hva sterk kundeautentisering er og hva man som e-forhandler må tenke på. PSD2-direktivet er komplekst, men å sette seg inn i hva det innebærer, kan ha flere fordeler for konverteringen.

Sterk kundeautentisering er en standardisert måte å sikre at forbrukeren er eieren av betalingsmåten de bruker. Det reduserer risikoen for e-forhandleren og for forbrukerens bank.

For at et kjøp skal gå gjennom, må forbrukeren kunne forevise minst to av de tre følgende:

E-forhandlere må bruke 3-D Secure 1 eller 3-D Secure 2 på majoriteten av alle transaksjoner i Europa. Fra og med29. desember 2020blir 3-D Secure 1 faset ut, og e-forhandlere som ikke allerede har gått over til 3-D Secure 2, må da gjøre dette.

3-D Secure er ikke noe nytt for de fleste. For e-forhandlere kan det være en trygghet å benytte seg av 3-D Secure. Når forbrukeren har legitimert seg, tar nemlig banken over risikoen for kjøpet. Skulle det vise seg at kjøpet er svindel, slipper dermed e-forhandleren å behandle tilbakebetalingskravet.

Dessverre påvirker 3-D Secure konverteringen. For å legitimere seg må man som regel oppgi en kode eller et passord, avhengig av hvilken bank man bruker. Hvis man ikke har informasjonen for hånden, kan ikke kjøpet gjennomføres. I Norge har det vært forholdsvis enkelt å legitimere seg medBank-ID,men selskaper som selger til resten av Europa vet at land som Tyskland og Frankrike har hatt langt dårligere konvertering med 3-D Secure.

Dessuten er ikke 3-D Secure integrert i checkouten. Brukeren blir i stedet omdirigert, noe som resulterer i en dårligere kundeopplevelse. Hvis man handler fra mobilen kan opplevelsen bli enda dårligere, fordi 3-D Secure er utviklet for PC.

Derfor har kortnettverkenes beslutningsorganEMVCo, som står bak 3-D Secure, laget en oppdatert versjon: 3-D Secure 2. Den nye versjonen er mobiltilpasset og lar forbrukerne legitimere seg med biometri for å øke konverteringen.

Ingen regel er uten unntak, og dette stemmer godt for PSD2s krav om SCA. Tommelfingerregelen for hvilke kjøp som blir berørt av kravene, er at følgende kriterier er til stede:

Men ingen regel uten unntak, og dette stemmer godt for PSD2s krav om sterk kundeautentisering. Enkelte kjøp omfattes ikke av direktivet, noe som betyr at man ikke trenger å bruke 3-D Secure i disse tilfellene. For andre kjøp er det mulig å be om unntak for å optimere konverteringen.

3-D Secure 2 gjør det enklere å ta betalt på nettet og vil bli en ny standard når 3-D Secure 1 begynner å fases ut i slutten av 2020.

Enkelte kjøp fungerer ikke sammen med 3-D Secure og er derfor unntatt fra direktivet. Ved disse kjøpene kan man velge å bruke 3-D Secure, men det blir ingen ansvarsforskyvning, noe som betyr at banken ikke overtar risikoen.

MOTO-transaksjoner.Bestillinger per post og telefon (Mail Order and Telephone Order, MOTO) er alltid unntatt fra 3-D Secure. MOTO-transaksjoner betraktes ikke som elektroniske betalinger, og de omfattes dermed ikke av reguleringen.

Interregionale transaksjoner.Betalinger der kortutstederen eller -innløseren ikke er basert i Europa, er også unntatt. Dette innebærer at det ikke vil være noe problem å ta imot betalinger i Europa fra ikke-europeiske kunder med den nye reguleringen. Selv om det ikke finnes noen regulering som krever det, kan kortutstederne likevel behandle internasjonale europeiske og internasjonale ikke-europeiske transaksjoner på samme måte, og be om at også disse verifiseres med tanke på risikohåndtering.

Firmakort.Betalinger som blir gjort med firmakort omfattes ikke av reglene, og 3-D Secure er ikke nødvendig.

Automatiske trekk (såk. 'merchant initiated transactions').Betalinger der kunden ikke er til stede ved kjøpet omfattes ikke av direktivet, f.eks. abonnementer eller delbetalinger.

I tillegg til at enkelte kjøp ikke blir berørt, finnes det noen unntak. Som e-forhandler må man be om disse unntakene – de gis ikke automatisk. I slike tilfeller er det ikke nødvendig å bruke 3-D Secure, men banken tar heller ikke over risikoen. Banken kan nekte unntakene hvis de mener at kjøpet er usikkert.

Hvitelistede e-forhandlere.En kunde kan velge å hviteliste en e-forhandler. Hvis en kunde f.eks. bestiller mat i en app hver uke, kan forbrukeren be om å slippe 3-D Secure.

Kjøp under 300 kroner.Mindre kjøp berøres i mindre grad. Disse unntakene er knyttet til kunden og ikke til e-forhandleren. Dette betyr at hvis en kunde har gjort fire kjøp under 300 kroner hos fire ulike forhandlere, vil banken kreve sterk autentisering ved det femte kjøpet, selv om dette er kundens første kjøp hos denne e-forhandleren.

Lavrisikokjøp.Transaksjoner med lav risiko unntas også fra sterk autentisering. Hvorvidt en betaling skal vurderes som lavrisiko, baseres på det gjennomsnittlige svindelnivået hos kortutstederen og innløseren som behandler transaksjonen. Dersom det er e-forhandleren eller betalingsleverandøren som ber om unntaket, overføres ikke risikoen. Dersom det er banken som ber om unntaket, overtar de risikoen.