Fra den 1. januar 2021 træder de nye regler om stærk kundeautentifikation i kraft

Reglerne trådte dog allerede i kraft den 14. september 2019, men fristen for at overholde dem blev forlænget, da flere netbutikker, banker, indløsere og betalingsgateways (PSP’ere) ikke var klar.

Så nu skal man være klar den 1. januar 2021, fordi Finanstilsynet da vil føre aktivt tilsyn med, om kravene bliver overholdt.

Men hvad betyder det?

Stærk kundeautentifikation er en procedure, der sikrer, at den der foretager betalingen eller tilgår sin betalingskonto, også er den der ejer kortet/betalingsmidlet/betalingskontoen.

To-faktor-autentifikation

Konkret betyder det, at man skal overholde EU’s Payment Services Directives 2 (PSD2).

Det vil sige, at kunden for at identificere sig skal udføre en to-faktor-autentifikation (2FA). De to faktorer skal være uafhængige af hinanden og indenfor følgende kategorier:

  • Viden: noget forbrugeren ved = et kodeord, PIN-kode
  • Besiddelse: noget forbrugeren har = en token, en mobil enhed
  • Arv: noget forbrugeren er = biometrisk fingeraftryk, ansigtsgenkendelse

Hvem er ansvarlig?

Forbrugerens bank er i sidste ende ansvarlig for at sikre SCA. Gennemførelse af SCA kræver dog involvering betalingstjenesteudbydere (PSP’ere) og kortindløsere.

Så hvad skal jeg gøre?

Som webshop skal du altså forberede dig på, at fristen for at opfylde kravene er den 1. januar 2021.

Du skal derfor sikre dig, at din PSP er klar til at opfylde kravene – og gerne før den 1. januar 2021.

Hvis ikke din PSP kan garantere dig at være klar, kan du risikere at miste transaktioner. Da bør du derfor allerede nu overveje at skifte PSP til én, der allerede er klar eller kan garantere at blive klar.