Nye EU-regler for betalinger

Den 14. september 2019 træder de nye EU-regler for betalinger i kraft. Reglerne er en revideret udgave af betalingstjenestedirektivet PSD2, som blev indført tilbage i januar 2018.

Blog: Finanstilsynes udskyder håndhævelsen af stærk kundeautentifiction

Tiltaget gør online betalinger mere sikre
De reviderede regler skal bl.a. gøre det mere sikkert, at lave elektroniske betalinger. Dette sker først og fremmest ved indførslen af kravet om stærk kundeautentifikation.

Krav om stærk kundeautentifikation
Stærk kundeautentifikation eller to-trins-godkendelse indebærer, at der skal anvendes mindst to faktorer til at godkende en betaling.

De to faktorer skal være noget betaleren ved (f.eks. et password) samt noget betaleren er (f.eks. et fingeraftryk) eller noget betaleren har (f.eks. et betalingskort). 

To-trins-godkendelse kan f.eks. ske gennem et privat kodeord efterfulgt af en kode tilsendt til forbrugerens mobil.

Mange webshops opfylder (endnu) ikke kravene 
I Danmark opfylder de fysiske butikker allerede stærk kundeautentifikation i form af chipkort (noget betaleren har) og pinkode (noget betaleren ved).

Mange online butikker gør derimod ikke, på samme måde, brug af to-faktor-godkendelse. Det vil de nye EU-regler lave om på.

Blog: Overholder din webshop kravene om kundeautentifikation (SCA)?

80% af det samlede misbrug sker online

Ifølge Nationalbanken blev der i 2018 begået misbrug med danske betalingskort for ca. 301 mio. kr. Heraf udgjorde misbrug i online forretninger ca. 236 mio. kr., og udgør dermed knap 80 % af det samlede misbrug. Det er disse høje tal, de nye regler skal være med til at begrænse. 

Blog: Gør livet surt for de digitale tyveknægte

Har du styr på det tekniske?

Kortindløser og kortudstedere som f.eks. Nets og bankerne tilbyder allerede i vidt omfang løsninger til stærk kundeautentifikation i form af ’Dankort Secured by Nets’ og ’3D secured’ på internationale kort. 

Mange webshops derimod, har ikke den nødvendige tekniske opsætning, til at kunne anvende stærk kundeautentifikation. 

For at en betaling med stærk kundeautentifikation kan gennemføres, er det nødvendigt, at alle led i kæden, i forbindelse med gennemførelsen af en betalingstransaktion, understøtter dette rent teknisk. Det omfatter både kortudstederne og kortindløser samt den enkelte webshop og anvendte betalingsgateways (de der leverer de tekniske løsninger til webshoppen).

Betalingerne afvises

Hvis din webshop ikke er gearet til at kunne anvende stærk kundeautentifikation pr. 14. september 2019, er konsekvensen, at I kan blive afskåret fra at modtage betalinger. Det skyldes, at betalinger, der ikke er godkendt med stærk kundeautentifikation (2-faktor-godkendelse), som udgangspunkt ikke må gennemføres efter denne dato.

Webshops, som ikke vil risikere at få afvist deres kunders betalinger, skal derfor sikre, at de rent teknisk er klar til at modtage betalinger, der er godkendt med stærk kundeautentifikation.

Er du i tvivl om du opfylder kravene?
Er du som webshopejer i tvivl om, hvorvidt du lever op til reglerne om stærk kundeautentifikation, bør du straks tage kontakt til din kortindløser eller gateway-udbyder.

Ingen regler uden undtagelser

Reglerne om stærk kundeidentifikation gælder ifølge loven alle betalinger, der ikke er eksplicit undtaget herfra.

Undtagelser
De fysiske butikker er omfattet af en undtagelse af kravet mod stærk kundeidentifikation bl.a. ved betalinger på op til 375 kr. Ligeledes er ikke-fysiske butikker bl.a. omfattet af en undtagelse fra kravet ved småbetalinger på op til 225 kr. 

'Betalinger efter forbrug' er også undtaget ved betalinger, der, ifølge aftalen, trækkes fra et gemt betalingskort. Det kan f.eks. være mobilabonnementer, hvor prisen varierer.

Læs det uddybende notat fra Betalingsrådet under Nationalbanken her.

Abonnements betalinger

Virksomheder der anvender abonnementsløsninger med en fast pris og frekvens, skal foretage en to-trins-godkendelse ved første betaling. Da de efterfølgende betalinger henviser til den første betaling - som er gennemført med stærk kundeautentifikation - er disse undtaget af kravet.

Den første betaling ses som et bevis på, at virksomheden og kunden har en aftale om, at abonnementsprisen må hæves på kundens kort.

Hvis abonnementsprisen svinger i pris, skal virksomheden bede kortudstederen om undtagelse fra kravet.

Bemærk, at godkender forbrugerens bank ikke de ønskede undtagelser, skal kunden gennemgå to-trins-godkendelsen.