Find indhold
    BLOG

December 2019 | To-faktor autentifikation

udgivet 10.12.2019
TO-FAKTOR AUTENTIFIKATION KAN DINE KUNDER HANDLE TRYGT PÅ DIN HJEMMESIDE?

EU spiller en stadig større rolle i at forme fremtiden for dansk erhvervsliv, hvorfor vi på SMVGuiden i flere af årets nyhedsbreve har sat fokus på et udsnit af de mange direktiver, som den Europæiske Union har sat i søen for yderligere at styrke og forene standarderne for handel, transaktioner, databehandling og meget andet. I forbindelse med den igangværende julehandel, som i stigende grad foregår på nettet, retter vi derfor blikket mod endnu et initiativ, der er blevet påbudt på EU-plan, og som derfor er relevant for de mange danske SMV'er, som sælger varer eller ydelser via deres hjemmesider eller har overvejelser herom. Initiativet i fokus er reglen om stærk kundeautentifikation eller på engelsk "Strong Customer Authentication" (SCA), som hører under artikel 98 af PSD2. PSD2 står for Payment Services Directive 2, og favner i øvrigt meget bredere end SCA. Det bliver ikke uddybet i månedens nyhedsbrev, men du kan læse mere om PSD2's artikler på den Europæiske Centralbanks hjemmeside (ECB). 

To-faktor godkendelse skal sikre større forbrugersikkerhed

Nationalbanken har estimeret, at der er begået misbrug med betalingskort for cirka 236 millioner kroner i 2018 alene, og derfor er det i alles interesse, at der strammes gevaldigt op på de digitale betalingsplatforme. Formålet med SCA er derfor at beskytte e-handlende forbrugere yderligere ved at reducere svindel og øge sikkerheden på online betalinger.  Det skal opnås gennem en standardisering af betalingsflowet for alle webshops i EU, hvor kundens identitet skal bekræftes på to forskellige måder, før du som webshop lovligt kan acceptere deres betaling. For at møde kravene til SCA skal du derfor sørge for, at du verificerer betalingen via mindst to af følgende tre faktorer:

To-faktor godkendelse

SCA udføres primært ved hjælp af 3D secure for blandt andet Visa og Mastercard og Safekey for American Express, og har et individuelt navn alt efter kortudbyderen (f.eks. "Verified by Visa" eller "MasterCard SecureCode". I praksis skal dette ikke nødvendigvis benyttes til alle transaktioner, hvis særlige forhold er gældende:

Lav-risiko transaktioner

Hvis indløseren anses som værende særdeles gode til at minimere bedrageri, kan der anmodes om SCA-undtagelser for køb op til 500 Euro. 

Betalinger under 30 Euro

Hvis købet ikke overstiger 30 EUR er kravet om to-faktor godkendelse også undtaget, men det skal dog stadig gøres for hver femte transaktion, eller når det samlede beløb for de små køb er højere end 100 EUR.

Abonnementsbetalinger

Tilbagevendende betalinger skal kun to-faktor godkendes første gang, hvis der er tale om faste periodiske beløb. I tilfælde hvor abonnementsbetalingerne varierer efter forbrug, skal forbrugeren give særskilt samtykke om, at de må trække de variable omkostninger på det gemte betalingskort.   

Telefonsalg

Kortdetaljer der er opkrævet over telefonen falder uden for direktivets krav om SCA.

Betroede modtagere

Forbrugeren vil få mulighed for at "white-liste" bestemte virksomheder, så de i fremtiden ikke behøver en to-faktor godkendelse ved transaktioner hertil. Det skal efter planen foregå hos forbrugerens kortudsteder, men det er dog endnu uklart, hvordan dette konkret skal foregå. 

Kortholderens bank har sidste ord

Selvom betalingen kan falde inden for en af disse undtagelser, skal du dog være opmærksom på, at det i sidste ende er kortholderens bank, der bestemmer, hvorvidt de vil accepterer undtagelsen, og de har derfor retten til under alle omstændigheder at kræver en to-faktor autentifikation. Sker det vil betalingen afvises, og du som virksomhed skal derfor sikre dig, at kunden dirigeres tilbage i betalingsprocessen - flere udbydere af SCA-protokoller sørger dog for, at dette sker helt automatisk. 

Implementeringsfristen af SCA blev udskudt af Finanstilsynet

SCA skulle oprindeligt være implementeret allerede den 14. september 2019, men da den Europæiske Banktilsynsmyndighed (EBA) nogle få måneder før denne dato skønnede, at markedets forberedelse hertil har været utilstrækkelig, så åbnede de op for muligheden for, at de nationale tilsynsmyndigheder kunne forlænge implementeringsperioden for virksomhederne i sine respektive medlemslande.

Den 6. september 2019 meddelte Finanstilsynet derfor, at de ville forlænge fristen for danske virksomheder med yderligere 18 måneder, og den nye frist hedder derfor den 14. marts 2021. Forlængelsen skal sikre, at de nye regler ikke medfører større forstyrrelser af den danske e-handel. Finanstilsynet nåede frem til den konklusion gennem dialog med repræsentanter fra aktørerne på det danske betalingsmarked, hvor der her blev særligt lagt vægt på, at leverandørerne af de bagvedliggende tekniske løsninger og såkaldte betalingsgateways endnu ikke er rustet til at håndtere direktivet. 

Øvrige regler om SCA er stadig gældende

Selvom du nu stadig kan acceptere betalinger uden brug af SCA, understreger Finanstilsynet, at forlængelsen af implementeringsperioden ikke ændrer på de omkringliggende regler, der trådte i kraft den 14 september 2019. Det gælder for eksempel hæftelses- og ansvarsregler i tilfælde af, at der ikke er anvendt stærk kundeautentifikation. Så udover at du gør forbrugerne en tjeneste og kraftigt øger troværdigheden af din webshop ved at få indført SCA, så kan det også blive en dyrt, hvis du venter længere end højst nødvendigt med at investere i en betalingsgateway, der overholder EU's krav i henhold til PSD2. Derudover er rigtig mange nordiske webshops allerede godt med, og fra et konkurrencemæssigt synspunkt vil du derfor også gøre klogt i at komme i gang hurtigst muligt for at undgå, at dine potentielle kunder vælger dig fra til fordel for de sikre alternativer.