Værd at vide om stærk kundeautentifikation (SCA)
Afhængigt af hvordan en webshop tager imod betalinger i dag, kan de nye regler om SCA have en mærkbar indvirkning på måden, de modtager betalinger – men også for hele kundeoplevelsen. For at være forberedt, bør man være opmærksom på følgende:
3D Secure-autentifikation (eller tilsvarende) vil være påkrævet for online betalinger.
Nets’ online platforme er SCA-kompatible. Udstederne er ansvarlige for SCA og kan afvise uautoriserede transaktioner efter 14. september 2019.
Betalinger der er initierede af webshopejeren eller tilbagevendende betalinger (Recurring) skal være markeret korrekt i autorisationsbeskeden. Dette kan kræve opdateringer til dine PSP- integrationer/API‘er – du vil blive underrettet om nødvendigt.
SCA behøver ikke være besværligt! Kortudstedere bliver bedre og bedre til at strømline deres kundeautentifikation, og inden længe vil en ny version af 3D Secure blive introduceret. De nøjagtige muligheder og implementeringstrin for din webshop afhænger af, hvilken Nets-platform du bruger. Tjek din PSP-platformvejledning for at sikre, at du er sat korrekt op til 3D Secure.
Bemærk: Hvis du bruger 3D Secure i dag, behøver du ikke gøre mere!
Vi ved, at der er mange forvirrende oplysninger vedrørende PSD2 og SCA, så vi har gjort det let for dig ved at samle de mest nødvendige oplysninger til dig nedenfor. Herunder finder du detaljerne bag PSD2, SCA og de punkter, du skal vide om 3D Secure.
Hvad er stærk kundeautentifikation (SCA), og hvilke typer transaktioner er omfattet?
Misbrug bliver stadig mere avanceret inden for online betalinger. For at imødegå dette blev der indført nye regler for stærk kundeautentifikation (SCA) i EU’s Payment Services Directive 2 (PSD2).
Alle transaktioner via betalingskort initieret af en forbruger kræver SCA. En stærk kundeautentifikation i henhold til PSD2 henviser til, at kunden bliver bedt om at levere to-faktor-autentifikation (2FA) for at identificere sig i betalingsprocessen. De to faktorer skal være uafhængige af hinanden og skal være fra følgende kategorier:
Viden:
noget forbrugeren ved = et kodeord, PIN-kode
Besiddelse:
noget forbrugeren har = en token, en mobil enhed
Arv:
noget forbrugeren er = biometrisk fingeraftryk, ansigtsgenkendelse
I dag gennemføres kortbetaling online ofte ved indtastning af kortnummeret, hvorefter man bliver bedt om at identificere sig selv gennem 3D Secure med SMS-engangskode eller lignende.
Forbrugerens bank (kortudsteder) er i sidste ende ansvarlig for at sikre SCA, men i praksis kræver det også involvering af betalingstjenesteudbydere (PSP) og kortindløser.
Ikke alle transaktioner er omfattet af SCA
Ifølge PSD2-reglerne omfatter SCA transaktioner initieret af betaleren, mens andre transaktioner ikke kræver to-faktor-autentifikation f.eks.:
Transaktioner initieret af betalingsmodtageren
anses ikke for at være udløst af betaleren og er derfor fritaget for SCA. Læs mere om SCA-undtagelser længere nede på siden.
MOTO
(mail- og telefonordrer) anses ikke for at være elektroniske, og er derfor ikke omfattet af SCA.
Cross-border-transaktioner
, hvor enten kortudsteder eller -indløser ikke er baseret i Europa, omfattes heller ikke af SCA.
Hvad skal webshopejerne gøre?
3D Secure skal være aktiveret for online kortbetalinger
SCA-kravet under PSD2 betyder, at stærk autentifikation af betaleren ikke længere er et valg. For de transaktioner som er omfattet skal SCA udføres - dvs. kortholderen skal autentificeres over for kortudstederen. Det betyder, at korttransaktioner skal godkendes via 3D Secure (eller tilsvarende).
Hvad er 3D Secure?
3D Secure er udviklet til at beskytte kortholdere, når de handler online via en sikkerhedskontrol af betalingstransaktioner. 3D Secure leveres af kortorganisationerne (Visa har eksempelvis ”Verified by Visa” og Mastercard har ”SecureCode”) og er genkendelige for forbrugere, da disse brands vises på 3D Secure-siden, der vises, efter de har trykket ”bekræft”.
SCA via 3D Secure kræver normalt, at forbrugeren skal udføre en handling for at bekræfte, at de rent faktisk er den rette person, som er ved at foretage købet. Det sker som regel gennem en app fra udstederen eller via et engangspassword sendt pr. sms, som forbrugeren indtaster for at fuldføre transaktionen. Den præcise metode vælges af kortudsteder.
Ved brug af 3D Secure er det vigtigt at understrege, at webshopejeren er beskyttet mod indsigelser ved kortmisbrug – dvs. at det er udstederen og dermed ikke webshopejerens ansvar*.
(*) Denne ansvarsbeskyttelse kan variere for andre lokale og internationale kortbrands.
3D Secure vil ikke længere være valgfrit...
I dag beslutter forretninger ofte selv, om de vil anvende 3D Secure. Nogle webshops anser SCA som besværligt og som noget, der kan påvirke deres konverteringsrate negativt. Med SCA-reguleringen bliver 3D Secure imidlertid påkrævet for online korttransaktioner, med undtagelse af nogle få scenarier, som vi vil kortlægge nedenfor.
Det er udstederne (ofte banker), der kontrollerer SCA, og de vil ikke godkende betalinger, der ikke er autentificeret gennem 3D Secure. Uden brug af 3D Secure overholder man ikke PSD2-direktivet, og risikoen for afviste transaktioner øges samtidig markant, da kortudstedere også skal overholde PSD2 SCA-kravene.
Det kan forekomme at udstederne allerede begynder at håndhæve med SCA-kravene fra november 2020. Det betyder, at hvis du er Nets-PSP-kunde, skal du have aktiveret 3D Secure inden november 2020, for at være sikker på, at dine kunders onlinebetalinger går igennem. Hvis du ikke har 3D Secure kan du risikere, at kundernes kort bliver afvist i din webshop.
Ofte stillede spørgsmål
Er mine ’gem-kort-transaktioner’ omfattet af SCA?
"Gem-kort" er, når forbrugerens kortoplysninger er gemt, for at de lettere kan gennemføre et køb, næste gang de handler. Forbrugeren bliver som regel spurgt, om de ønsker at gemme deres kortnummer, udløbsdato og CVC/CVV-kode, så de let kan springe dette trin over, næste gang de handler i den samme webshop.
At kortoplysninger gemmes gør ingen forskel i klassificeringen af transaktionen. Hvis det er en forbrugerinitieret engangsbetaling, så forbliver det en engangsbetaling ift. SCA. Derfor skal disse transaktioner gennemgå 3D Secure (eller tilsvarende).
Hvad er en forretningsinitieret transaktion?
Forretningsinitierede transaktioner (på engelsk forkortet MIT) har følgende egenskaber:
Baseret på en aftale mellem forretningen og forbrugeren for levering af varer/tjenesteydelser
Betalingen er baseret på en aftale om gentagende (Recurring) betalinger
Betaleren (forbrugeren) skal ikke foretage SCA ved efterfølgende betalinger
Aftalen skal underskrives af betaleren med SCA, og derefter er SCA ikke nødvendigt
Eksempler på MIT-transaktioner: musik- eller streamingabonnementer, mobilregninger mv.
Skal jeg bekræfte alle mine eksisterende aftaler igen?
Kort sagt - nej. Eksisterende aftaler for recurring og MIT’er behøver ikke ny SCA. En indløser skal dog kunne henvise til tidligere transaktioner (transaction-ID) i kæden for at validere status for Recurring/MIT.
SCA-undtagelser
Selvom PSD2 fastsætter regler om, hvornår SCA er påkrævet, er der også angivet tilfælde, hvor undtagelser til SCA-kravene kan anvendes.
Det skal endnu engang bemærkes, at forbrugerens bank (kortudsteder) har det endelige ansvar for SCA og derfor også undtagelserne til SCA. Undtagelserne er ikke bindende for bankerne, og de kan selv afgøre, om de ønsker at tilbyde deres kunder disse undtagelser.
Eksempler på undtagelser til SCA beskrevet under PSD2:
Beløb under 30 EURO: Når en forbruger foretager en online transaktion på op til 30 EUR, kan denne transaktion udføres uden SCA. SCA skal anvendes igen på enten 100 EUR af samlede udgifter eller på hver 5. transaktion.
Transaktionsrisikoanalyse (TRA): Hvis udstederen eller indløseren udfører TRA og vurderer at transaktionen har lav risiko for misbrug, kan de fritage transaktionen fra SCA.
Betalerens (forbrugerens) betroede modtagere: Hvis en forbruger har identificeret en webshop, de har tillid til, og forudsat at identifikationen af webshoppen finder sted via banken med SCA, vil de efterfølgende transaktioner med denne webshop ikke kræve SCA.
Dette er en ny praksis under PSD2, og det forventes at der går tid før disse SCA-undtagelser bliver bredt implementeret. Udstederne kan dog fortsætte med at udføre risikobaserede godkendelse (dvs. TRA) på 3D Secure, som også muliggør passiv autentifikation af forbrugeren.