SCA og PSD2 – sådan fungerer de nye EU-krav til online kortbetalinger

Af Tanja Oda Sørensen, DIBS.

Den 14. september 2019 indføres der et nyt krav i Europa om, at alle online betalinger (med visse undtagelser) skal verificeres af køberen.

Ændringen er et tiltag for at gøre EU til et samlet marked, hvor de samme regler gælder for alle, og hvor forbrugeren er beskyttet. Kravet er en del af EU’s reglement PSD2 (Payment Service Directive 2) og går under navnet SCA – Strong Customer Authentication.

I denne blog kan du læse om, hvad de nye krav betyder i praksis for webshops og forbrugerne. Det gælder om at holde tungen lige i munden med alle de forkortelser, der bruges til at beskrive de nye regler, men vi har gjort vores bedste for at beskrive det kort og præcist herunder.

Kunden skal godkende købet

I praksis skal forbrugeren fra d. 14. september godkende online betalinger i to trin (også kendt som ’2 factor authentication’). Det vil sige, at udover et privat kodeord, skal forbrugeren også godkende et køb gennem en ekstra kode, der fx sendes til vedkommendes mobil.

EU kalder denne godkendelsesprocedure for SCA (i Danmark også kendt som ’stærk kundeverifikation’) som udføres ved hjælp af 3D Secure eller lignende protokoller, fx SafeKey fra AmericanExpress.

Det er de kortudestedende banker har ansvaret for, at der er SCA på alle elektroniske transaktioner per d. 14. september. Det betyder med andre ord, at fra d. 14. september skal alle europæiske webshops bruge SCA-protokol, fx 3D Secure, hvilket mange webshops i Norden allerede gør.

Køb, der er undtaget de nye krav

Der vil være online betalinger, der ikke behøver at gennemgå den nye to trin-godkendelse efter d. 14. september.

Bemærk, at det er op til de enkelte banker, hvordan de kommer til at håndtere nedenstående undtagelser. Det er derfor ikke sikkert, at alle undtagelser vil være gældende for alle banker.

Undtagelser, der kan anvendes af indløser og banker:

Køb for små beløb

Når købet er for under 30 EUR er kravet om verifikation også undtaget, men det skal stadig gøres for hver femte transaktion, eller når det samlede beløb for de små køb overstiger 100 EUR.

Køb med lav risiko

Kortudstederen kan også gøre undtagelser, hvis forbrugeren har vurderet, at risikoen for bedrageri ved en transaktion er lav. Her er der mange regler at tage højde for i forhold til indløseren som vi ikke har med i denne blog, men det er værd at bemærke, at indløsere, som er gode til at minimere bedrageri, får mulighed for at anmode om undtagelser på op til 500 EUR.

White listed virksomheder

Tanken er, at forbrugerne har mulighed for at tilføje virksomheder på en såkaldt ’white list’ hos deres kortudsteder og dermed undgå to trins-godkendelsen ved efterfølgende køb. Det er endnu uklart, hvordan dette præcist skal foregå.

Læs videre om emnet på dibs.dk

 

Add Comment