Föreställ dig att de grundläggande reglerna för hur vi beter oss i trafiken plötsligt ändrades.
Istället för att åka på ena sidan var förarna tvungna att byta till den andra.
Bland konsekvenserna kan du bland annat förvänta dig en ökning av antalet olyckor när bilister anpassar sig till den ny praxis. Något liknande hände för drygt två år sedan med onlinebetalningar i EU. Nu har turen kommit även till Storbritannien.
En genomgripande ny förordning som dikterar hur kunder autentiserar transaktioner började tillämpas fullt ut förra veckan i Storbritannien. Detta var även slutet på en lång utrullningsprocess som skett över hela Europa. Förordningen har ett beundransvärt syfte – att minska betalningsbedrägerier online – men dess genomförande har orsakat “sidoskador”. I synnerhet har det lagt till komplexa operativa bördor och lett till en ökning av den takt med vilken legitima transaktioner nekas.
Regelverket i fråga är Strong Customer Authentication (SCA). Det skapades av EU-kommissionen som en del av ett större regelverk kallat PSD2, och det förändrar hur europeiska kunder autentiserar onlinebetalningar. För att skapa ett betalningsuniversum som är både säkert och friktionsfritt har Stripe byggt tekniken för att identifiera och åtgärda dessa fallgropar.
Matt Henderson, Regionchef Europa, Mellanöstern och Afrika, Stripe
Syftet med SCA var att minska bedrägerier genom att låta köparen autentisera en transaktion – som bevisar att man är den man säger att man är – vanligtvis genom ett protokoll som heter 3DSecure (3DS). Protokollet, som först lanserades 2001, inkluderar en process där en betalande kund besöker sin utfärdande banks säkra webbsida för att verifiera betalningens äkthet.
Uppdaterade versioner — 3DS2, 3DS2.1 och 3DS2.2 — har släppts under de senaste åren, vilket gör det möjligt för företag att skicka mer information till emittenter (likt en bank) så att vissa transaktioner kan slutföras utan att kunden behöver lämna utchecknings-sidan.
I själva verket skrev SCA om reglerna för hur alla parter i en transaktion – den utfärdande banken, kortinnehavaren, verksamheten och andra intressenter – måste komma överens för att den ska gå igenom. Om någon part inte är beredd att implementera protokollet, går autentiseringen sönder och transaktionen misslyckas.
Och eftersom SCA långsamt har tillämpats över hela Europa, är det dags att göra en inventering. Under det senaste året har branschen sett många misslyckade transaktioner. Varför?
För det första har vi lärt oss att även när en majoritet av deltagarna i en betalningsprocess har antagit SCA-standarder, misslyckas många transaktioner fortfarande. Denna uppdelning återspeglar en kritisk egenskap hos onlinebetalningar: de är bara så starka som deras svagaste länk. Om deltagare i en flerpartstransaktion inte följer SCA-reglerna, eller inte kan implementera förordningen korrekt, misslyckas hela transaktionen.
Låt oss ta emitterande banker som ett exempel. De har ställts inför betydande utmaningar när de implementerar SCA-standarder. Särskilt 2020, när SCA precis började tillämpas i det Europeiska ekonomiska samarbetsområdet, såg vi ofta att emitterande banker returnerade generiska avslag för transaktioner som lätt kunde ha varit framgångsrika om bara banken hade returnerat en “soft decline” samtidigt som de begärt mer data.
Det har funnits betydande variationer i tillsynsnivån i varje land också – med emittenter i Danmark och Spanien, till exempel, som var mer benägna att “mjukt avvisa” transaktioner jämfört med emittenter i Frankrike. På marknader som Tyskland och Italien har kortinnehavarens registrering i SCA-kompatibla lösningar med sina utfärdande banker också varit en utmaning eftersom en stor del av kunderna inte har tvåfaktorsautentisering (2FA) inrättad.
På samma sätt har vi sett betydande variationer i hur emittenter presterar när du jämför dem mellan det nya 3DS2-autentiseringsprotokollet och den äldre 3DS1-versionen. Vissa banker autentiserar fler transaktioner med 3DS2, vilket är vad du skulle hoppas på med ett uppdaterat protokoll. Men 2021 presterade nästan hälften faktiskt bättre med den äldre 3DS1-versionen. Variansen var så stor att Stripe byggde ett sätt att dynamiskt växla mellan 3DS1- och 3DS2-protokoll beroende på emittenten i transaktionen.
Emitterande banker är bara en part i varje transaktion, och ytterligare utmaningar kommer när olika parter måste följa de nya reglerna samtidigt. Här är ett viktigt exempel: under de senaste två åren har vi observerat att när det gäller autentisering av transaktioner är vilken typ av enhet du autentiserar av betydelse. SCA-transaktioner som initieras från en mobil enhet har tre procent mindre sannolikhet att lyckas än de som kommer från en stationär dator. Denna lucka indikerar att processen att omdirigera mobilanvändare till deras bankapp för autentisering fortfarande upplever problem.
Även om det är uppenbart att fler emittenter korrekt använder 3DS2 tillsammans med dess riskbaserade autentiseringsprocess, är det fortfarande en lång väg kvar att gå innan 3DS2 blir ett framgångsrikt standardprotokoll för alla emittenter.
Även med dessa utmaningar får företag viss nytta av SCA. Förordningen flyttar ansvaret för tvister från företag till emitterande banker. Men kostnaderna för den förmånen – mätt med antalet misslyckade betalningar – är fortfarande alldeles för höga. Visa uppskattar att 3DS-transaktioner lider av en elva-procentig nedgång i konverteringsfrekvensen. Det är mer än en av tio försäljningar som misslyckas eftersom företag följer SCA.
Den gradvisa utbyggnaden av SCA-tillämpningen har förhindrat det värsta resultatet: företag som en dag vaknar upp och ser sin försäljning störtdyka. Men det finns fortfarande mycket att göra. Alla delar av betalningsuniversumet måste nu samarbeta för att säkerställa att SCA uppnår sitt mål att begränsa bedrägerier vid onlinebetalningar, utan att det kostar företagens försäljning och frustrerar kunderna.
Matt Henderson, Regionchef Europa, Mellanöstern och Afrika, Stripe
