Svenska handelsföretag gör klokt i att så snart som möjligt anpassa sig till EU:s nya regelverk SCA, Strong Customer Authentication, som trädde i kraft den 14 september. Eller gjorde det? En stor och oroande osäkerhet har utbrutit efter det att den europeiska bankmyndigheten (EBA) den 21 juni öppnade upp för nationella tillsynsmyndigheter att senarelägga startdatumet för SCA-implementeringen.
Samordnade och transparenta regler för såväl företag som konsumenter har varit avgörande när europeiska företag lyckats växa utanför sina landsgränser. Startups som Typeform från Spanien, Doctolib från Frankrike, Catawiki från Nederländerna eller Voi här i Sverige har på kort tid brett ut sig över kontinenten. Inte minst svenska företag har gjort sig kända för att snabbt ta sig från sin lokala till en global marknad.
Nu står alltså europeisk onlinehandel inför en genomgripande förändring. Det nya regelverket SCA blir ett av de största ingreppen på decennier för både handlare och konsumenter när det kommer till hur betalningar genomförs. Utgångspunkten är att göra alla inköp tryggare för konsumenter och alltså minska utsattheten för onlinebedrägerier.
Nya regler, särskilt så här komplexa regelverk, är naturligtvis omständliga att implementera och kan dessutom uppfattas som krångliga av konsumenterna, trots att det ju är för deras skull direktivet införs. Även om SCA bidrar till att minska bedrägerier kan den ekonomiska förlusten som de nya reglerna orsakar, enligt olika studier, bli så hög som 57 miljarder euro i Europa – till följd av att det i många fall blir mer omständligt att betala. Direktivet kräver generellt tvåfaktorsautentisering vid alla inköp, något som påverkar själva betalningsupplevelsen och ställer högre krav på hur onlinekassorna konstrueras, både tekniskt och pedagogiskt. Inte blir det enklare av att direktivet medger en del undantag, som för vissa typer av mindre inköp.
På Stripe gör vi allt vi kan för att förbereda företag av alla storlekar att förstå implikationerna av SCA och uppdatera sina betalningsflöden. Bland annat behöver många företag hjälp att hantera vilka inköp som omfattas av undantagen. Det är ytterst komplicerat eftersom det till stor del avgörs av Europas alla över 6 000 olika banker tolkar reglerna. Så – trots att SCA trädde i kraft den 14 september är stora delar av branschen fortfarande inte rustade. Och därav EBU:s öppning för att länder nationellt kan senarelägga sin anpassning till SCA.
Även om avsikten var god, att ge Europas online-ekonomi mer tid att förbereda sig, har det onekligen rört till en komplicerad situation ännu mer. Det är oroande att enskilda nationella tillsynsmyndigheter kan tolka denna möjliga tidsfrist på olika sätt och ställa upp sina egna regler. Det riskerar att lägga ytterligare ett lager av komplexitet till ett redan svåröverskådligt regelverk och skada onlinehandeln på djupet och på allvar hota den digitala inre marknaden.
En studie Stripe genomförde tidigare i år visar att 70 procent av onlineföretagen säljer internationellt, många av dem från dag ett. Gränsöverskridande betalningar har onekligen blivit normen. Olika regler för olika aktörer i olika länder innebär en upplösning av den europeiska idén om en digital inre marknad, åtminstone ur ett ekonomiskt perspektiv. I ett gemensamt uttalande tidigare denna månad varnade e-handels- och betalningsbranscherna för detta hot om fragmentisering och påpekade att ett dåligt samordnat genomförande skulle leda till ”osammanhängande användarupplevelser och förvirring för konsumenterna”.
Vi ser redan skillnader i hur tillsynsmyndigheterna har tagit till sig EBA-vägledningen. Frankrike talar till exempel om ett treårigt kravlöst senareläggande. Andra väljer en mittenväg. Storbritannien och Tyskland tittar var för sig på att senarelägga med 18 månader. Detta kan innebära att betalningar i en jurisdiktion måste verifieras dubbelt – och andra inte. I Sverige har Finansinspektionen uttalat att den inte ser några skäl att dra ut på tiden.
Just nu kan vi dra två slutsatser efter att ha tagit del av debatten:
Rent praktiskt behöver onlineföretag tänka på att under alla omständigheter anpassa sig till SCA, inte minst därför att en del banker som ger ut betalkort tillämpar SCA från dag ett. Även om det exakta datumet för när SCA verkligen börjar gälla överallt är osäkert finns det färdiga lösningar som hjälper handelsföretagen att uppfylla kraven och samtidigt behålla sin omsättning. Dessa lösningar kan också hjälpa dem att tillämpa undantag från SCA när det är möjligt och även sörja för att tvåfaktorsautentisering endast används vid behov.
Hur de europeiska länderna nu hanterar införandet av SCA är ett skarpt test av Europas samordnade strategi. I tider med växande nationalism erbjuder EU en modell för samarbete och integration – men bara om nationella tillsynsmyndigheter kan enas om hur de ska hantera senarelägganden i de respektive medlemsländerna. Allt annat skulle sända en farlig signal i osäkra tider och avsevärt försvaga den digitala inre marknaden. Dessutom, eftersom SCA inte gäller företag utanför EU, skulle denna otydlighet innebära en verklig nackdel för europeiska företag. Låt oss, för Europas online-ekonomis skull, hoppas att nationella tillsynsmyndigheter samordnar införandet av de nya reglerna på ett bra och rättvist sätt.