Afhængigt af hvordan en webshop tager imod betalinger i dag, kan de nye regler om SCA have en mærkbar indvirkning på måden, de modtager betalinger – men også for hele kundeoplevelsen. For at være forberedt, bør man være opmærksom på følgende:
SCA behøver ikke være besværligt! Kortudstedere bliver bedre og bedre til at strømline deres kundeautentifikation, og inden længe vil en ny version af 3D Secure blive introduceret. De nøjagtige muligheder og implementeringstrin for din webshop afhænger af, hvilken Nets-platform du bruger. Tjek din PSP-platformvejledning for at sikre, at du er sat korrekt op til 3D Secure.
Bemærk: Hvis du bruger 3D Secure i dag, behøver du ikke gøre mere!
Vi ved, at der er mange forvirrende oplysninger vedrørende PSD2 og SCA, så vi har gjort det let for dig ved at samle de mest nødvendige oplysninger til dig nedenfor. Herunder finder du detaljerne bag PSD2, SCA og de punkter, du skal vide om 3D Secure.
Misbrug bliver stadig mere avanceret inden for online betalinger. For at imødegå dette blev der indført nye regler for stærk kundeautentifikation (SCA) i EU’s Payment Services Directive 2 (PSD2).
Alle transaktioner via betalingskort initieret af en forbruger kræver SCA. En stærk kundeautentifikation i henhold til PSD2 henviser til, at kunden bliver bedt om at levere to-faktor-autentifikation (2FA) for at identificere sig i betalingsprocessen. De to faktorer skal være uafhængige af hinanden og skal være fra følgende kategorier:
I dag gennemføres kortbetaling online ofte ved indtastning af kortnummeret, hvorefter man bliver bedt om at identificere sig selv gennem 3D Secure med SMS-engangskode eller lignende.
Forbrugerens bank (kortudsteder) er i sidste ende ansvarlig for at sikre SCA, men i praksis kræver det også involvering af betalingstjenesteudbydere (PSP) og kortindløser.
Ifølge PSD2-reglerne omfatter SCA transaktioner initieret af betaleren, mens andre transaktioner ikke kræver to-faktor-autentifikation f.eks.:
3D Secure skal være aktiveret for online kortbetalinger
SCA-kravet under PSD2 betyder, at stærk autentifikation af betaleren ikke længere er et valg. For de transaktioner som er omfattet skal SCA udføres - dvs. kortholderen skal autentificeres over for kortudstederen. Det betyder, at korttransaktioner skal godkendes via 3D Secure (eller tilsvarende).
3D Secure er udviklet til at beskytte kortholdere, når de handler online via en sikkerhedskontrol af betalingstransaktioner. 3D Secure leveres af kortorganisationerne (Visa har eksempelvis ”Verified by Visa” og Mastercard har ”SecureCode”) og er genkendelige for forbrugere, da disse brands vises på 3D Secure-siden, der vises, efter de har trykket ”bekræft”.
SCA via 3D Secure kræver normalt, at forbrugeren skal udføre en handling for at bekræfte, at de rent faktisk er den rette person, som er ved at foretage købet. Det sker som regel gennem en app fra udstederen eller via et engangspassword sendt pr. sms, som forbrugeren indtaster for at fuldføre transaktionen. Den præcise metode vælges af kortudsteder.
Ved brug af 3D Secure er det vigtigt at understrege, at webshopejeren er beskyttet mod indsigelser ved kortmisbrug – dvs. at det er udstederen og dermed ikke webshopejerens ansvar*.
(*) Denne ansvarsbeskyttelse kan variere for andre lokale og internationale kortbrands.
I dag beslutter forretninger ofte selv, om de vil anvende 3D Secure. Nogle webshops anser SCA som besværligt og som noget, der kan påvirke deres konverteringsrate negativt. Med SCA-reguleringen bliver 3D Secure imidlertid påkrævet for online korttransaktioner, med undtagelse af nogle få scenarier, som vi vil kortlægge nedenfor.
Det er udstederne (ofte banker), der kontrollerer SCA, og de vil ikke godkende betalinger, der ikke er autentificeret gennem 3D Secure. Uden brug af 3D Secure overholder man ikke PSD2-direktivet, og risikoen for afviste transaktioner øges samtidig markant, da kortudstedere også skal overholde PSD2 SCA-kravene.
Det kan forekomme at udstederne allerede begynder at håndhæve med SCA-kravene fra november 2020. Det betyder, at hvis du er Nets-PSP-kunde, skal du have aktiveret 3D Secure inden november 2020, for at være sikker på, at dine kunders onlinebetalinger går igennem. Hvis du ikke har 3D Secure kan du risikere, at kundernes kort bliver afvist i din webshop.
"Gem-kort" er, når forbrugerens kortoplysninger er gemt, for at de lettere kan gennemføre et køb, næste gang de handler. Forbrugeren bliver som regel spurgt, om de ønsker at gemme deres kortnummer, udløbsdato og CVC/CVV-kode, så de let kan springe dette trin over, næste gang de handler i den samme webshop.
At kortoplysninger gemmes gør ingen forskel i klassificeringen af transaktionen. Hvis det er en forbrugerinitieret engangsbetaling, så forbliver det en engangsbetaling ift. SCA. Derfor skal disse transaktioner gennemgå 3D Secure (eller tilsvarende).
Forretningsinitierede transaktioner (på engelsk forkortet MIT) har følgende egenskaber:
Eksempler på MIT-transaktioner: musik- eller streamingabonnementer, mobilregninger mv.
Kort sagt - nej. Eksisterende aftaler for recurring og MIT’er behøver ikke ny SCA. En indløser skal dog kunne henvise til tidligere transaktioner (transaction-ID) i kæden for at validere status for Recurring/MIT.
Selvom PSD2 fastsætter regler om, hvornår SCA er påkrævet, er der også angivet tilfælde, hvor undtagelser til SCA-kravene kan anvendes.
Det skal endnu engang bemærkes, at forbrugerens bank (kortudsteder) har det endelige ansvar for SCA og derfor også undtagelserne til SCA. Undtagelserne er ikke bindende for bankerne, og de kan selv afgøre, om de ønsker at tilbyde deres kunder disse undtagelser.
Eksempler på undtagelser til SCA beskrevet under PSD2:
Dette er en ny praksis under PSD2, og det forventes at der går tid før disse SCA-undtagelser bliver bredt implementeret. Udstederne kan dog fortsætte med at udføre risikobaserede godkendelse (dvs. TRA) på 3D Secure, som også muliggør passiv autentifikation af forbrugeren.