Nytt EU-direktiv höjer säkerhetskrav

Kan din e-handel ta betalt efter 31 december 2020? Det var den uppfordrande rubriken på ett välbesökt seminarium på årets D-Congress i Göteborg i början på mars.

Nytt EU-direktiv höjer säkerhetskrav 1Bedrägerier i samband med näthandel/e-handel har varit ett växande bekymmer för kortutgivare och handlare inom EU. För att minska bedrägerierna ar ett nytt EU-direktiv kallat SCA, Strong Customer Authentication, införts från den 14 september 2019, som en del av PSD2 *, 2nd Payment Service Directive. Direktivet innebär att det ställs högre krav på hur konsumenter bekräftar sin identitet vid köp online. Det krävs en så kallad tvåfaktor-autentisering vid kortbetalning, något som ska göra det svårare för konsumenter att agera bedrägligt men också att kundupplevelsen  ska bli bättre.

  • Det nya direktivet kräver att alla parter, både banker, kortföretag och handlare behöver införa nya standarder. Det är komplicerat, i realiteten är det en ny global säkerhetsstandard för betalningar som ska införas i hela ekosystemet, med en deadline för Sverige i slutet av året. 31 december i år behöver allt vara på plats i Europa, säger Tanja Wesén, Director Cyber&Intelligence Solutions på Mastercard.

De nya reglerna innebär bland annat att handlaren behöver lämna upplysningar till banken kring varje transaktion. Det ska stå helt klart vem som genomfört transaktionen och även det exakta beloppet. Syftet med det är att myndigheter ska kunna begära ut och kunna undersöka exakt vilka transaktioner som gjorts.

Alla handlare behöver försäkra sig om att deras betalsystem kan hantera betalningar enligt de nya reglerna, annars är risken stor att banken nekar transaktionerna.

De flesta större handlare har redan anpassat och testat sina system, men många mindre har hela jobbet kvar att göra.

Tanja Wesén framhåller att reglerna har kommit till för att skydda konsumenterna, men det ligger också i kortutgivares och kortinlösares intresse att minska bedrägerier.

  • Alla bedrägerier är ju faktiskt ett sätt att underhålla en kriminell sektor, säger hon.

Att skärpa säkerheten ligger således i alla legitima aktörers intresse.

Vad behöver då handlaren göra?

  • För det första bör man kontakta sin kortinlösande bank eller betalväxel och ta reda på vilka ändringar som behöver göras. Man behöver också försäkra sig om att bankens eller betalväxelns autentiseringspolicy verkligen stödjer det nya regelverket.

Sedan bör man också uppdatera sina kundvillkor avseende GDPR. Eftersom de nya reglerna innebär att andra uppgifter ska lämnas och lagras kring transaktionerna, behöver handlaren informera sina kunder om vilken information som inhämtas och att informationen endast ska användas för riskbedömning.

Hemsidan behöver också uppdateras med respektive kortbolags logotyp för autentisering vid kortköp.

  • Jag hör ofta från handlare jag talar med att ”det fixar väl någon annan…”, men det nya regelverket innebär faktiskt att alla behöver ta ansvar för sin del. Om handlare lämnar ofullständiga uppgifter har banken numera lagen i ryggen när de nekar en transaktion. Banken kan då skicka tillbaka transaktionen. Det kan också bli så att handlaren får ta risken om transaktionen genomförs, säger hon.

Nu är det inte så att varenda transaktion behöver hanteras enligt SCA. Bland annat har man redan i den fysiska handel tidigare gjort undantag för mindre belopp som kan hanteras utan chip&pin eller andra autentieringsmetoder. I Sverige ligger gränsen på 200 kronor. I vissa Europeiska länder har man infört ett högre belopp än i Sverige, detta belopp kommer nu att ha en högsta gräns på 50 EUR.

Handlare och kortutgivande bank eller betalväxel kan komma överens om vilken av parterna som ska stå för risken för de mindre transaktionerna med lägre belopp (under 30 EUR) förutsatt att man uppfyller kraven för PSD2 SCA.

[WT1]2nd Payment Service Directive

[WT2]EU direktivet nämner inte kundupplevelsen specifikt men EBA gick med på att införa så kallade ’Exemptions’ för en bättre kundupplevelse

[WT3]I en majoritet av EU länderna så gäller den nya SCA lagen till fullo den 1 sta januari. Med några undantag såsom England och Frankrike.