Vad är 3-D Secure?

Om du handlat på nätet de senaste tio åren så har du med säkerhet stött på 3-D Secure. Det är ett säkerhetssteg för att bekräfta att det är du som kortinnehavare som utför köpet. När det genomförs blir det den kortutfärdande banken, inte företaget du handlar av, som tar över ansvaret för bedrägliga kortreklamationer. Man kan tänka på det som en digital pinkod.

I och med PSD2:s krav på stark kundautentisering har 3DS blivit nödvändigt för fler köp.

Man säger att det inte finns något gott som inte för något ont med sig, och det stämmer sannerligen in på 3-D Secure. För de flesta e-handlare utgör 3DS en stor trygghet, samtidigt som att det påverkar konverteringen. 

3DS är byggt för en tid då alla köp gjordes med dator. Protokollet är inte mobilanpassat, vilket skapar problem med konvertering för app- och mobilbaseradde checkouter.

Det andra klagomålet är att det ser annorlunda ut i varje land. I Sverige har det varit relativt enkelt för konsumenter att legitimera sig med Bank-ID, medan andra länder som Tyskland och Frankrike krävt att konsumenter memorerar långa, statiska kösenord.

För att åtgärda detta har kortnätverkens beslutsorgan EMVCo släppt ett uppdaterad protokoll som kallas för 3-D Secure 2. 

3DS 2 medför säkrare och enklare sätt att legitimera sig. 3-D Secure 2 är byggt för mobilen och fungerar dessutom i appar. Kort och gott åtgärdar det nya protokollet många av problemen i den första versionen.

3DS kan användas som en verktyg för att dela information mellan handlare och banker. Genom att kortutfärdande banker och handlare delar information om gemensamma kunder blir det lättare att fatta riskbeslut. Lägre risk innebär högre godkännandegrad och ökad konvertering.

I fall där kunden redan legitimerat sig tidigare kan 3-D Secure 2 ske osynligt i bakgrunden av en transaktion. Adyens dynamiska 3DS-tjänst gör det möjligt att avgöra i vilka fall bankerna behöver extra information och endast kräva ytterligare legitimering när det är nödvändigt.

3-D Secure 2 behöver inte bara användas som bedrägeriskydd. Eftersom informationsflödet mellan handlare och kortutgivare ökar godkännandegraden, kan alla som använder 3-D Secure 2 se ökad konvertering.

I många fall behöver kunden inte göra någonting för att legitimera sig med 3-D Secure 2. Men i vissa fall krävs det några extra steg. Köp med anknytning till högre risk eller tuffare PSD2-regler kräver ett aktivt godkännande. Adyens dynamiska 3-D Secure avgör vilken respons banken kräver. 
 
Passiv autentisering – datautbytet sker i bakgrunden utan att konsumenten behöver lägga in några uppgifter. 

Tvåfaktorsautentisering – konsumenten blir ombedd att legitimera sig, t.ex. med en kod som skickas på sms eller Bank-ID.

Biometrisk autentisering – konsumenten dirigeras om till bankens app där de legitimerar sig biometriskt. 

Ju fler sätt kunden har att legitimera sig på, desto mindre är risken att de överger köpet. Det höjer säkerheten och samtidigt som det sänker kundbortfall i checkouten. 

På sikt kommer 3-D Secure 1 att fasas ut. Utvecklingen för att fasa ut 3-D Secure 1 drivs på av kortnätverken, kortutgivande banker och lagstiftning. Eftersom det kan vara svårt att ha uppsikt på alla ändringar som sker så rekommenderar Adyen dynamiskt 3-D Secure, som automatiskt känner om 3-D Secure ska visas eller inte, samt om 3-D Secure 2 ska användas.

Det är e-handlaren som avgör vilken version av 3-D Secure de väljer att integrera i sin Checkout. Adyen rekommenderar att man använder sig av 3-D Secure 2 med 3-D Secure 1 som back-up. Det betyder att man alltid kommer att kunna möta kortutgivande bankers krav på SCA.

PSD2:s SCA-krav omfattar endast köp som görs med kort där kortet är kopplat till en person. Företagskort är inte omfattade av direktivet. Det påverkar inte heller köp som görs med andra betalningsmetoder, som t.ex. faktura. Detta betyder att de flesta köp som sker mellan företag inte påverkas av SCA-kravet.

Som e-handlare kan man välja att använda 3-D Secure på vilka korttransaktioner man vill, oavsett hur de berörs av direktivet. I fall där köpet inte omfattas av direktivet så kommer bankerna inte att erbjuda en ansvarsförskjutning vid köpet. Det betyder att e-handlaren kan sänka risken genom att kunden legitimerar sig, men skulle det visa sig vara bedrägligt är banken inte ansvarig. Ifall e-handlaren kräver 3-D Secure på ett köp som kan undantas tar banken över risken.

Ett undantag flaggas av e-handlaren eller dennes betalningsleverantör. Det finns olika sätt att hantera sin efterlevnad praktiskt (se nedan). Man är inte tvungen att be om undantag ifall man önskar att inte göra det. 

PSD2:s krav på SCA innebär att e-handlare behöver ha en strategi och ett upplägg för att trigga 3-D Secure när det behövs.

Vi rekommenderar tre alternativ för kunder att hantera sin PSD2-efterlevnad. 

Det finns olika alternativ för att lägga till 3-D Secure 2 i sin checkout. Vilket alternativ man ska välja beror på vilken integration man har. 

Vanliga integrationer

Använder man ett plugin eller Adyens out-of-the-box integrationer, t.ex. components, drop-in eller betallänk är det enkelt att slå på 3-D Secure 2. Har man vår HPP-lösning krävs inget arbete från kundens sida. Adyen uppdaterar flödet.

Om man använder sig av Adyens API eller SDK behöver man integrera 3-D Secure 2. Mer information om detta hittas i vår dokumentation.