PSD2
-
För handlare och konsumenter kommer den största förändringen vara att europeiska kortkunder nu behöver verifiera sin identitet vid varje elektronisk betalning. Detta kommer göras genom en så kallad ”stark kundautentisering” (Strong Customer Authentication eller SCA).
För kortköp i fysisk handel kommer de nya reglerna få relativt små effekter. För att uppfylla SCA-kravet räcker det att kunden slår in sin pinkod efter att kortet lästs av i terminalen. Dessutom innehåller PSD2 ett undantag som gör det möjligt för kunder att fortsätta genomföra kontaktlösa köp utan PIN-kod upp till ett visst belopp.
Betalningar som påverkas
Så kallade chip-and-go lösningar, där kunden sätter in kortet i terminalen men inte slår in sin PIN, förbjöds den 1 november 2020. Dessutom innebär de nya reglerna att signaturköp och köp gjorda med kortets magnetremsa kan komma att nekas av den kortutgivande banken efter den 1 november 2020. Detta eftersom dessa tekniker inte bedöms vara tillräckligt säkra.
Vad du behöver göra
Om du använder en kortterminal från Worldline behöver du inte göra någonting för att förbereda dig för de nya reglerna. Vi kommer att uppdatera din terminalmjukvara för att uppfylla kommande PSD2 och SCA-krav.
-
För e-handlare kommer den största förändringen vara att alla europeiska konsumenter nu behöver verifiera sin identitet när de genomför elektroniska betalningar. I PSD2 kallas detta för ”stark kundautentisering” (Strong Customer Authentication eller SCA) och innebär att kunder inte längre kan genomföra kortköp med endast sina kortuppgifter. Istället behöver kunderna nu verifiera sin identitet genom en så kallad tvåfaktors-autentisering, exempelvis genom ett lösenord.
Krav på 3D Secure
Kortnätverken (Visa, Mastercard, American Express osv.) har valt att använda säkerhetsprotokollet 3D Secureför att utföra SCA vid betalning med deras kort. Detta innebär att du som e-handlare måste implementera 3D Secure på din webbshop för att kunna ta emot kortbetalningar från Europeiska kunder senast 31 december 2020.
3D Secure har använts sedan 2001 för att öka säkerheten vid kortbetalningar online och Worldline har även tidigare rekommenderat våra handlare att använda 3D Secure. Om du redan idag använder 3D Secure för alla dina kortbetalningar uppfyller du alltså redan de nya kraven. Om du inte använder 3D Secure i dag kommer Worldline, i egenskap av PSP, se till att detta blir aktiverat på din webbshop innan 31 december 2020.
Worldline kommer även se till att du har stöd för den senaste versionen av 3D Secure. Den nya versionen, EMV 3DS, gör det möjligt för kunder att genomföra ”friktionsfria” köp där den kortutgivande banken godkänner vissa transaktioner utan att kunden behöver genomföra en stark kundautentisering.
-
PSD2-mandatet gäller länder inom det Europeiska Ekonomiska Samarbetsområdet (EES) och alla transaktioner där både de utfärdande och inlösande bankerna är belägna inom EES.
-
Kravet på SCA (Strong Customer Authentication) var tänkt att vara obligatoriskt för alla elektroniska betalningar inom EU den 14 september 2019. Tekniska komplikationer med implementeringen i hela verksamheten tvingade dock EBA att utfärda en tidsfrist till 31 december 2020 för implementering istället. På detta nya datum måste alla aktörer vara redo för SCA-kravet.
-
Som handlare är det viktigt att se till att du via din betalningsgateway (ofta kallad PSP) hanterar SCA-kompatibla transaktioner senast den 31 december 2020.
Om du inte gör det kan de kortutgivande banker besluta att neka dina transaktioner, vilket kan leda till lägre auktoriseringsnivåer. Det är de kortutgivande bankerna som implementerar protokoll för att följa PSD2/SCA-regler.
Vår starka rekommendation till e-handlare är att byta till 3D Secure 2.2 så snart som möjligt eftersom detta skapar ett smidigare flöde för dina kunder och minskar risken för att transaktioner nekas. Läs mer om hur du kan uppdatera till 3D Secure 2.2 här.
-
En av de mest omdebatterade aspekterna av SCA-kravet handlar om transaktionstyper som inte berörs av kravet samt de undantag som får göras enligt betaltjänstdirektivet, PSD2.
"Out of Scope" och "Exemptions"
De transaktionstyper som inte berörs av kravet är sådana som helt enkelt inte är en del av det nya direktivet, för dessa typer blir alltså SCA inte ett krav. Dessa kallas för ”Out of Scope”. Det finns även transaktionstyper som klassas som undantag, där betalningen fortfarande är berörd av direktivet, men där handlare tillsammans med sin inlösare, alternativt kortutgivaren kan be om ett undantag för SCA för just den transaktionen. Dessa undantagna transaktioner kallas för ”Exemptions”. För både ”Out of Scope” och ”Exemptions” finns det regelverk för när de olika fallen får tillämpas.
De vanligaste betalningarna för handlare inom dessa områden kommer att vara betalningar med låga summor och prenumerationstjänster. Undantaget för låga summor är relativt okomplicerat: inlösaren kan be kortutgivaren att en transaktion ska undantas om beloppet understiger €30. Om kortutgivaren nekar undantaget behöver kunden fortfarande genomföra SCA via 3D Secure. Om undantaget accepteras kommer köpet att genomföras utan en 3D Secure fråga mot kortkunden. Detta kallas för en friktionslös betalning