PSD2: vad betyder stark autentisering?

Hur hänger PSD2, SCA och 3D Secure ihop? Vi reder ut vad man som e-handlare behöver ha koll på när de nya kraven börjar gälla 14 september.

Uppdaterat 14 maj 2019

Andra betaltjänstdirektivet (även kallat PSD2) direktiv för e-handeln börjar gälla i år. Direktivets syfte är att skapa bättre förutsättningar för säkra och smidiga betalningar på nätet. Det påverkar e-handlare på många sätt, däribland kravet att erbjuda stark kundautentisering (Strong Customer Authentication, SCA) innebär och vad företag behöver göra innan 14 september. Vill du ställa frågor till Adyen om PSD2, SCA eller 3D Secure? Anmäl dig till webinaret.

PSD2 kommer öka säkerheten vid betalningar på nätet

Framöver kommer konsumenter att behöva legitimera sig när de handlar från europeiska sajter vid majoriteten av alla nätköp. Redan idag finns det regler för hur man säkerställer att det är kortägaren som utför köpet. Kravet för hur en kund ska legitimera sig kallas för stark kundautentisering (SCA) och sättet ett företag ber en kund att utföra detta på heter 3D Secure.

Företag väljer ofta att använda 3D Secure för att skydda sig mot risk. När en kund går igenom 3D Secure så förskjuts ansvaret för transaktionen från företaget som säljer produkten eller tjänsten till den kortutfärdande banken. Vissa banker kräver dessutom att företag använder sig av 3D Secure för att godkänna en transaktion. Men det har inte funnits tydliga riktlinjer för hur och när en bank ska kräva SCA - förens nu. 

Vilka aktörer påverkas av PSD2:s nya krav?

PSD2:s krav på SCA berör flera olika aktörer. 

  • De kortutfärdande bankerna kommer att behöva kräva SCA på fler transaktioner. 
  • E-handlare kommer att vara beredda på att möta SCA-kraven med 3D Secure. 
  • Konsumenter kommer att behöva legitimera sig oftare vid nätköp. 
  • Betalningsleverantörer måste kunna stötta nya flöden för sina kunder. 

Vad behöver man veta som e-handlare?

Det viktigaste att förstå är vilka köp som berörs av PSD2. Även om PSD2 påverkar majoriteten av alla nätköp är det vissa transaktioner som inte omfattas av regelverket. Det finns även vissa undantag som betyder att vissa typer av köp bara berörs ibland. 

Tumregeln för vilka transaktioner som berörs

E-handlare kommer att behöva möta SCA kraven med 3D Secure för alla köp där antingen:

  • Kortet som används för köpet utfärdats i EU / EEA
  • Kortinlösaren är registrerad i EU / EEA

Vilka transaktioner omfattas inte av direktivet?

Vissa transaktioner är 'out-of-scope', dvs. att de inte omfattas av PSD2. Vid dessa köp kan e-handlaren välja att använda 3D Secure, men det blir ingen ansvarsförskjutning vilket betyder att e-handlaren inte kan föra över risken på banken. 

  • MOTO-transaktioner
  • Interregionala transaktioner
  • Företagskort
  • Automatiska debiteringar (s.k. 'merchant initiated transactions')

MOTO-transaktioner. Beställningar via post och telefon (Mail Order and Telephone Order, MOTO) undantas alltid från 3D Secure. MOTO-transaktioner anses inte vara elektroniska betalningar, så de omfattas inte av regleringen.

Interregionala transaktioner. Betalningar där utfärdaren eller inlösaren av kortet inte är baserad i Europa undantas också. Det innebär att det inte kommer att vara något problem att ta emot betalningar i Europa från icke-europeiska kunder med den nya regleringen. Även om det inte finns någon reglering som kräver det, så kan kortutfärdarna dock behandla internationella europeiska och internationella icke-europeiska transaktioner på samma sätt och begära att även de verifieras med tanke på riskhantering.

Företagskort. Betalningar som görs med företagskort omfattas inte av SCA-reglerna och 3D Secure är inte nödvändigt.

Automatiska debiteringar (s.k. 'merchant initiated transactions'). Betalningar där kunden inte är närvarande vid köpet omfattas inte av direktivet, t.ex. prenumerationer eller delbetalningar. 

Vilka undantag gäller?

Bankerna erbjuder vissa undantag där SCA inte är ett krav. Som e-handlare behöver man begära dessa undantag - de sker inte automatiskt. Banken kan neka undantagen, om de anser att köpet är osäkert. Vid undantagen där man inte möter SCA-kraven tar banken inte över risken. 

Vitlistade e-handlare. En kund kan välja att vitlista en e-handlare. T.ex. om en kund beställer mat hos en app varje vecka kan konsumenten begära att slippa 3D Secure. 

Köp under 300 kronor. Transaktioner under 300 kronor undantas från SCA. Den utfärdande banken håller dock koll på summan av utförda betalningar. Om totalsumman av betalförsöken som gjorts på kortet utan stark autentisering under ett dygn överstiger 1000 kronor krävs SCA. Samma gäller vid var femte transaktion. Detta undantag är knutet till kunden och inte till e-handlaren. Det innebär att om en kund gjort fyra köp under 300 kronor hos fyra olika handlare så kommer banken att kräva SCA vid det femte köpet, även om det är det första som kunden gör hos den e-handlaren. 

Lågriskköp. Transaktioner med låg risk undantas också från SCA. Möjligheten för en betalning att anses vara lågrisk baseras på den genomsnittliga bedrägerinivån hos kortutfärdaren och den inlösare som hanterar transaktionen. Ifall undantaget begärs av e-handlaren eller betalningsleverantören överförs inte risken. Ifall undantaget begärs av baken så tar de över risken. 

Vad behöver man göra som e-handlare?

Efter att man kartlagt hur PSD2 kommer att påverka ens köp behöver man förbereda sig tekniskt. Det betyder att man måste vara beredd att använda 3D Secure på alla transaktioner som berörs - annars riskerar man att banken inte godkänner köpen. 

Hur kommer 3D Secure 2.0 in i bilden?

För att hantera de nya kraven från PSD2 och förbättra köpupplevelsen har kortnätverkens beslutsorgan EMVCo byggt det nya protokollet 3D Secure 2.0. 

Med 3D Secure 2.0 försvinner den klumpiga vidaresändningen, och kunden kan legitimera sig på fler sätt. Från och med april 2019 har bankerna behövt stödja åtminstone två av tre alternativ: 

  • Något man kan, t.ex. ett lösenord
  • Något man äger, t.ex. en smartphone
  • Något man har, t.ex. ett fingeravtryck

Viktiga datum för efterlevnad

Här är de viktiga datumen för PSD2 och SCA:

  • April 2019. Ansvarsförskjutning för 3D Secure 2.0. Därefter förväntas kortutfärdande banker att acceptera 3D Secure 2.0. Om ett företag kräver 3D Secure 2.0 och den utfärdande banken inte kan acceptera det, så frigörs företaget automatiskt från ansvaret.
  • 14 september 2019. SCA-kraven i PSD2 träder i kraft i Europa. Alla företag med betydande europeisk volym måste bemöta 
  • 20203D Secure 2.0 lanseras globalt. Vi förväntar oss att de flesta av världens banker accepterar 2.0 vid slutet av 2020 och då fasas 3D Secure 1.0 ut. 

Läs mer om Adyens 3D Secure 2.0-lösning
 

Are you looking for test card numbers?

Would you like to contact support?

Start searching the Adyen blog...

 Blog