PSD2: vad betyder stark autentisering?

Det Andra betaltjänstdirektivet (även kallat PSD2) har medfört nya regler för e-handel. En viktig del av detta är stark kundautentisering (en: Strong Customer Authentication, SCA) som innebär ökad säkerhet för e-handlare och konsumenter.

I den här guiden går vi igenom vad stark kundautentsering är och vad man som e-handlare behöver tänka på. PSD2 direktivet är komplext, men att sätta sig in i vad det innebär flera fördelar för konvertering.

Stark kundautentisering är ett standardiserat sätt att säkerställa att konsumenten är ägaren till betalsättet de använder. Det minskar risken för e-handlaren och för konsumentens bank.

För att ett köp ska gå igenom måste konsumenten kunna uppvisa minst två av tre följande:

E-handlare behöver använda 3-D Secure 1 eller 3-D Secure 2 på majoriteten av alla transaktioner i Europa. Från och med 29 december 2020 kommer 3-D Secure 1  att fasas ut, och då kommer e-handlare som inte redan gjort det att behöva övergå till 3-D Secure 2.

3-D Secure är inget nytt för de flesta. För e-handlare kan det vara en trygghet att använda sig av 3D Secure. När konsumenten legitimerat sig tar banken nämligen över risken för köpet - så om det skulle visa sig att köpet var bedrägerligt slipper e-handlaren hantera återkravet.

Tyvärr påverkar 3-D Secure konverteringen. För att legitimera sig behöver man oftast ange en kod eller ett lösenord, beroende på vilken bank man har. Har man inte informationen till hands går inte köpet att genomföra. I Sverige har det varit relativt smidigt att legitimera sig med Bank-ID, men företag som säljer till resten av Europa vet att länder som Tyskland och Franktike haft långt sämre konvertering med 3-D Secure.

Dessutom är 3-D Secure inte integrerat i checkouten. Istället dirigeras användaren om, vilket resulterar i en sämre kundupplevelse. Handlar man på mobilen är upplevelsen ännu sämre då 3-D Secure är byggt för datorer.

Därför har kortnätverkens beslutsorgan EMVCo, som ligger bakom 3-D Secure, byggt en uppdaterad version: 3-D Secure 2. Den nya versionen är mobilanpassad och låter konsumenter legtimera sig med biometri för högre konvertering.

Det finns ingen regel utan undantag, och det stämmer bra överens med PSD2:s SCA-krav. Tumregeln för vilka köp som berörs av kraven är om följande stämmer:

Men, det finns ingen regel utan undantag, och det stämmer bra överens med PSD2:s krav på stark kundatuentisering. Vissa köp omfattas inte av direktivet, vilket betyder att man inte bör använda 3-D Secure på dem. Andra köp kan man begära som undantag för att optimera konverteringen.

3-D Secure 2 gör det smidigare att ta betalt på nätet, och kommer att bli en ny standard när 3-D Secure 1 börjar fasas ut i slutet av 2020.

Vissa köp fungerar inte ihop med 3-D Secure och undantas därför direktivet. Vid dessa köp kan man välja att använda 3-D Secure, men det blir ingen ansvarsförskjutning vilket betyder att banken inte tar över risken.

MOTO-transaktioner. Beställningar via post och telefon (Mail Order and Telephone Order, MOTO) undantas alltid från 3-D Secure. MOTO-transaktioner anses inte vara elektroniska betalningar, så de omfattas inte av regleringen.

Interregionala transaktioner. Betalningar där utfärdaren eller inlösaren av kortet inte är baserad i Europa undantas också. Det innebär att det inte kommer att vara något problem att ta emot betalningar i Europa från icke-europeiska kunder med den nya regleringen. Även om det inte finns någon reglering som kräver det, så kan kortutfärdarna dock behandla internationella europeiska och internationella icke-europeiska transaktioner på samma sätt och begära att även de verifieras med tanke på riskhantering.

Företagskort. Betalningar som görs med företagskort omfattas inte av reglerna och 3-D Secure är inte nödvändigt.

Automatiska debiteringar (s.k. 'merchant initiated transactions'). Betalningar där kunden inte är närvarande vid köpet omfattas inte av direktivet, t.ex. prenumerationer eller delbetalningar.

Utöver att vissa köp inte berörs så finns det undantag. Som e-handlare behöver man begära dessa undantag - de sker inte automatiskt. I det fallet behöver man inte använda 3-D Secure, men banken tar inte heller över risken. Banken kan neka undantagen, om de anser att köpet är osäkert.

Vitlistade e-handlare. En kund kan välja att vitlista en e-handlare. T.ex. om en kund beställer mat hos en app varje vecka kan konsumenten begära att slippa 3-D Secure.

Köp under 300 kronor. Mindre köp berörs i mindre utstäckning. Dessa undantag är knutet till kunden och inte till e-handlaren. Det innebär att om en kund gjort fyra köp under 300 kronor hos fyra olika handlare så kommer banken att kräva stark autentisering vid det femte köpet, även om det är det första som kunden gör hos den e-handlaren.

Lågriskköp. Transaktioner med låg risk undantas också från stark autentisering. Möjligheten för en betalning att anses vara lågrisk baseras på den genomsnittliga bedrägerinivån hos kortutfärdaren och den inlösare som hanterar transaktionen. Ifall undantaget begärs av e-handlaren eller betalningsleverantören överförs inte risken. Ifall undantaget begärs av baken så tar de över risken.