PSD2: vad betyder stark autentisering?

Hur hänger PSD2, SCA och 3D Secure ihop? Vi reder ut vad man som e-handlare behöver ha koll på.

Andra betaltjänstdirektivet (även kallat PSD2) trädde i kraft 1 maj 2018. Direktivets syfte är att skapa bättre förutsättningar för säkra och smidiga betalningar på nätet. Det påverkar e-handlare på många sätt, däribland kravet att erbjuda stark autentisering (strong customer authentication, SCA). Vi går igenom vad SCA är och vad det innebär för e-handeln. 

PSD2-kraven för ökad säkerhet

SCA är en ny europeisk standard som tagits fram för att göra betalningar på nätet säkrare. Framöver kommer konsumenter att behöva legitimera sig när de handlar från europeiska sajter. 

I nuläget används 3D Secure 1.0 för att verifiera att den som försöker handla med ett kort faktiskt är kortinnehavaren. Fördelen med 3D Secure är att det blir kortutgivande bank som tar över risken, istället för företaget som säljer produkten eller tjänsten. Men tjänsten har även haft en rad nackdelar såsom den dåliga kundupplevelsen som sänker konverteringen, i synnerhet på mobilen. 

För att hantera de nya kraven från PSD2 och förbättra 3DS 1.0 skapade EMVCo det nya protokollet 3D Secure 2.0. Målet var att göra autentiseringen säkrare och mer dynamisk.
 
Med 3D Secure 2.0 försvinner den klumpiga vidaresändningen, och kunden kan autentisera sig biometriskt. 

Vad innebär SCA? 

SCA innebär en säkrare men samtidigt användarvänlig upplevelse. Autentiseringen måste innehålla minst två av följande:

  • Något man kan, t.ex. ett lösenord
  • Något man äger, t.ex. en smartphone
  • Något man har, t.ex. ett fingeravtryck

Det kan bli så enkelt som att kunden anger en engångskod som skickas via sms. Även om man glömt lösenord så kan man fortfarande legitimera sig genom något man äger, som sin smartwatch eller något man har, exempelvis ett fingeravtryck.

Viktiga datum

Här är de viktiga datumen för PSD2 och SCA:

  • April 2019. Ansvarsförskjutning för 3DS 2.0. Därefter förväntas kortutfärdande banker att acceptera 3D Secure 2.0. Om ett företag kräver 3D Secure 2.0 och den utfärdande banken inte kan acceptera det, så frigörs företaget automatiskt från ansvaret.
  • 14 september 2019. SCA-kraven i PSD2 träder i kraft i Europa. Alla företag med betydande europeisk volym måste ha implementerat 3D Secure 2.0 senast detta datum.
  • 20203DS 2.0 lanseras globalt. Vi förväntar oss att de flesta av världens banker accepterar 2.0 vid slutet av 2020 och då fasar ut 3DS 1.0. 

Adyen har en inbyggd lösning för 3D Secure 2.0 och vi hjälper våra kunder att se till att de uppfyller kraven för efterlevnad. 

Undantag från SCA

Avsikten med PSD2 är att kräva SCA för alla nättransaktioner, men det finns en del undantag. En kortutfärdare begär det mest lämpliga undantaget för en given transaktion. Dessa undantag säkerställer att konsumenter fortfarande får smidiga köpupplevelser, men med ytterligare säkerhetslager vid sina större och mindre frekventa betalningar. 
 
Utmaningen med SCA-undantag är att det inte går att avgöra om de är tillämpbara förrän vid tidpunkten för transaktionen. En del av Adyens lösning för 3DS 2.0 omfattar möjligheten att begära ett undantag för varje transaktion och endast när så krävs presentera ett SCA-flöde för konsumenten.

Här är de vanligaste undantagen: 

Transaktioner med lågt värde och låg risk 

Transaktioner under 30 euro undantas från SCA. Den utfärdande banken håller dock koll på summan av gjorda betalningar. Om totalsumman av betalförsöken som gjorts på kortet utan stark autentisering under ett dygn överstiger 100 euro krävs SCA. Samma gäller vid var femte transaktion.
 
Transaktioner med låg risk undantas också från SCA. Möjligheten för en betalning att anses vara lågrisk baseras på den genomsnittliga bedrägerinivån hos kortutfärdaren och den inlösare som hanterar transaktionen. 

Prenumerationer eller återkommande transaktioner 

Prenumerationer eller återkommande betalningar med ett fast belopp undantas från och med den andra transaktionen. Det är endast den första transaktionen som kräver SCA.

Om beloppet ändras krävs 3D Secure för varje nytt belopp. Detta påverkar företag som debiterar en rörlig avgift, t.ex. en medlemsavgift som ökar efter en startperiod. Men även här finns det undantag. Transaktioner initierade av handlare står helt utanför det område som omfattas av kraven i PSD2 SCA. Eftersom de flesta återkommande transaktioner initieras av handlaren och inte av kortinnehavaren, kräver många prenumerationsbetalningar inte SCA alls. 

Vitlistade handlare 

Kunder kan lägga till företag på sin vitlista med betrodda mottagare (”Trusted Beneficiaries”), en lista som underhålls av deras bank. Vitlistade kunder undantas från 3D Secure. Det gör att kunder som regelbundet handlar från ett visst företag inte behöver använda SCA vid kommande köp.

MOTO-transaktioner 

Beställningar via post och telefon (Mail Order and Telephone Order, MOTO) undantas alltid från 3D Secure. MOTO-transaktioner anses inte vara elektroniska betalningar, så de omfattas inte av regleringen.

Interregionala transaktioner
 
Betalningar där utfärdaren eller inlösaren av kortet inte är baserad i Europa undantas också. Det innebär att det inte kommer att vara något problem att ta emot betalningar i Europa från icke-europeiska kunder med den nya regleringen.
 
Även om det inte finns någon reglering som kräver det, så kan kortutfärdarna dock behandla internationella europeiska och internationella icke-europeiska transaktioner på samma sätt och begära att även de verifieras med tanke på riskhantering.
 
Företagskort
 
Betalningar som görs med företagskort omfattas inte av SCA-reglerna och 3D Secure är inte nödvändigt.

Högre konvertering med datadelning

Den senaste versionen av 3D Secure är byggd för att öka antalet godkända transaktioner. Eftersom autentiseringen blir mer flexibel, får kortutfärdaren tillgång till mer information. När det blir lättare att säkerställa att kortet används av rätt person bidrar det till fler godkända transaktioner. För handlare kommer det att märkas i form av högre konvertering. Som handlare kan man välja ifall man vill delta i datadelningen. 
 
I 3D Secure 2.0 ingår nästan 150 datapunkter, indelade i tre kategorier:

  • Kundinformation
  • Enhetsinformation
  • Transaktionsinformation 

Adyens kunder kan nå datan via vårt API för att sedan dela dem med den utfärdande banken. Handlare har full kontroll över vad dem delar – men ju mer dem delar, desto högre blir antalet godkända transaktioner.

Läs mer om Adyens 3D Secure 2.0-lösning
 

Are you looking for test card numbers?

Would you like to contact support?

Start searching the Adyen blog...

 Blog