PSD2

Kravet om SCA (Strong Customer Authentication) var ment å være obligatorisk for alle elektroniske betalinger innen EU fra 14. september 2019. På grunn av tekniske komplikasjoner med implementeringen ble imidlertid EBA nødt til å utstede en frist til 31. desember 2020 for implementering i stedet. På denne nye datoen må alle aktører være klare for SCA-kravet.

PSD2-direktivet gjelder for land innenfor EØS og for alle transaksjoner der både utstedende banker og innløsningsbanker er innenfor EØS.

Den største endringen vil være at alle europeiske forbrukere nå må verifisere identiteten sin når de foretar elektroniske betalinger. Dette kalles for "sterk kundeautentisering" (Strong Customer Authentication eller SCA) og betyr at kunder ikke lenger kan foreta kortkjøp med bare kortinformasjonen. I stedet må kundene nå verifisere identiteten sin gjennom en såkalt tofaktorautentisering, for eksempel gjennom et passord.

Krav til 3D Secure

Kortnettverkene (Visa, Mastercard, American Express osv.) Har valgt å bruke 3D Secure sikkerhetsprotokoll for å utføre SCA for betaling med kortene sine. Dette betyr at du som driver nettbutikk må implementere 3D Secure for å motta kortbetalinger fra europeiske kunder innen 31. desember 2020.

3D Secure har blitt brukt siden 2001 for å øke sikkerheten ved kortbetalinger på nettet, og Worldline har også tidligere anbefalt våre kunder å bruke 3D Secure. Hvis du allerede bruker 3D Secure for alle kortbetalinger, oppfyller du allerede de nye kravene. Hvis du ikke bruker 3D Secure i dag, vil Worldline som PSP, sørge for at dette er aktivert i nettbutikken din før 31. desember 2020.

Worldline vil også sørge for at har støtter den nyeste versjonen av 3D Secure. Den nye versjonen, EMV 3DS, gjør det mulig for kunder å gjøre "friksjonsfrie" kjøp der den kortutstedende banken godkjenner visse transaksjoner uten at kunden trenger å utføre sterk kundeautentisering.

or bedriftseiere og forbrukere vil den største endringen være at europeiske kortkunder nå må verifisere identiteten sin ved hver elektronisk betaling. Dette vil gjøres gjennom en såkalt "sterk kundeautentisering" (Strong Customer Authentication eller SCA).

For kortkjøp i fysisk butikk vil de nye reglene ha relativt små effekter. For å oppfylle SCA-kravet er det tilstrekkelig for kunden å oppgi PIN-koden sin etter at kortet er lest i terminalen. I tillegg inkluderer PSD2 et unntak som gjør at kundene kan fortsette å gjøre kontaktløse kjøp uten å angi PIN-koden opp til et visst beløp.

Betalinger som vil bli påvirket

Såkalte chip-and-go-løsninger, der kunden setter kortet inn i terminalen, men ikke skriver inn PIN-koden, er ikke lenger godkjent fra 1. november 2020. I tillegg betyr de nye reglene at signaturkjøp og kjøp med kortets magnetstripe kan bli avvist av den kortutstedende banken etter 1. november 2020. Dette er fordi disse teknologiene ikke anses å være tilstrekkelig sikre.

Hva du trenger å gjøre

Hvis du bruker en kortterminal fra Worldline er du allerede klar for de nye reglene. Vi vil oppdatere terminalprogramvaren din for å oppfylle kommende PSD2- og SCA-krav. Hvis du vil vite mer om dette, ta kontakt med support@bambora.com.

Som bedriftseier er det viktig å sørge for at du håndterer SCA-kompatible transaksjoner via betalingsgatewayen din (ofte referert til som PSP) innen 31. desember 2020.

Hvis du ikke gjør det, kan den kortutstedende banken bestemme seg for å avvise transaksjonene dine, noe som kan føre til lavere autorisasjonsnivåer. Det er den kortutstedende banken som implementerer protokoller for å overholde PSD2 / SCA-reglene.

Vi anbefaler alle nettforhandlere å bytte til 3D Secure 2.2 så snart som mulig, da dette skaper en jevnere flyt for kundene dine og reduserer risikoen for at transaksjoner blir avvist. Les mer om 3D Secure her.

Et av de mest omdiskuterte aspektene ved SCA-kravet handler om typer av transaksjoner som ikke berøres av kravet og unntakene som kan gjøres i samsvar med betalingstjenestedirektivet, PSD2.

"Out of Scope" og "Exemptions"

De transaksjonstypene som ikke er berørt av kravet, er de som rett og slett ikke er en del av det nye direktivet, for disse typene blir SCA ikke et krav. Disse kalles "Out of Scope". Det er også transaksjonstyper som er klassifisert som unntak, der betalingen fremdeles påvirkes av direktivet, men der bedriftseieren sammen med innløseren eller kortutstederen, kan be om unntak for SCA for den aktuelle transaksjonen. Disse ekskluderte transaksjonene kalles "Exemptions". For både "Out of Scope" og "Exemptions" er det regelverk for når de forskjellige tilfellene kan brukes.

De vanligste betalingene for bedriftseiere i disse områdene vil være betalinger med lave beløp og abonnementstjenester. Unntaket for lave beløp er relativt ukomplisert: Innløseren kan be kortutstederen om å gjøre unntak for en transaksjon dersom beløpet er mindre enn € 30. Hvis kortutstederen nekter unntaket, må kunden fortsatt fullføre SCA via 3D Secure. Hvis unntaket aksepteres, vil kjøpet gjennomføres uten et 3D Secure-spørsmål til kortkunden. Dette kalles en friksjonsfri betaling.