Skip to main content
Legal & compliance

Verdt å vite om sterk kundeautentisering (SCA)


Publisert: 28.11.2023
Oppdatert: 29.03.2024

Verdt å vite om sterk kundeautentisering (SCA)

Avhengig av hvordan forhandlere håndterer betalingene sine i dag, kan de nye reglene for SCA få merkbar innvirkning på måten de behandler betalingene sine. Forbrukerne vil også møte endringer i betalingsprosessen. For å være forberedt, må forhandlerne vite følgende:

  • 3D Secure-autentisering (eller tilsvarende) for nettbaserte betalinger vil være nødvendig. Nets eCommerce-plattformer er SCA-kompatible*. Kortutstedere er ansvarlige for SCA og kan avvise uautoriserte transaksjoner i fremtiden.

  • For transaksjoner som enten er igangsatt av forhandler eller gjentagende; disse må flagges riktig i autorisasjonsmeldingen og kan kreve oppdateringer til PSP / Gateway API-ene. Du vil bli informert hvis det blir nødvendig.

SCA trenger ikke å innebære friksjon! Kortutstedere blir bedre på å effektivisere forbrukerautentisering, og flyttingen til en nyere 3D Secure-versjon vil forbedre dette ytterligere. De nøyaktige implementeringstrinnene og alternativene som er tilgjengelige for deg som forhandler, avhenger av hvilken nettverksplattform du bruker. Det er viktig at du henviser til veiledningsmateriale for PSP-plattformer, for å sikre at du er konfigurert for 3D Secure på riktig måte.

Bruker du 3D Secure i dag, er du kompatibel!

Vi vet at det er mye forvirrende informasjon rundt PSD2 og SCA, så vi har fjernet støyen og gir deg det du faktisk trenger å vite – på en enkel måte. Dette kan du lese om nedenfor. Vi i Nets tar oss av de vanskelige og forvirrende betalingsmåtene for deg, slik at du kan ha fokus der du er aller best! Nedenfor kan du lese mer om PSD2, SCA og punktene du trenger å vite om 3D Secure og hvordan forberede deg. * Se informasjon for din spesifikke plattform da ulike plattformer og kortnettverk kan ha forskjellige krav og tidsfrister for godkjent overholdelse.

Hva er Strong Customer Authentication (SCA) og hvilke transaksjoner gjelder det for?

Svindel i nettbaserte betalinger blir stadig mer sofistikert og antallet har steget de siste årene. For å imøtekomme dette ble det innført nye regler for sterk kundeautentisering (SCA) i EUs betalingsformidlingsdirektiv II (PSD2). I hovedsak erklærer PSD2 at alle elektroniske transaksjoner (dvs. kort- og bankoverføringer) initiert av en betaler (dvs. forbruker) krever SCA. Sterk kundeautentisering i henhold til PSD2 refererer til at forbrukeren blir bedt om å levere tofaktorautentisering (2FA) for å identifisere seg i transaksjonsprosessen. De to faktorene må være uavhengige av hverandre og bør være innen følgende kategorier:

  • Kunnskap: noe bare forbrukeren vet = et passord, pin kode

  • Eiendel noe som bare forbrukeren har = et sikkert token, en mobil enhet

  • Unik egenskap: noe bare forbrukeren er /besitter = biometrisk fingeravtrykk, ansiktsgjenkjenning

  • Når du i dag handler noe via nettet med kortet ditt, skriver du inn kortnummeret og blir bedt om å autentisere deg selv gjennom 3D Secure med SMS-passord eller lignende: Forbrukerens bank er ansvarlig for å levere SCA-midler og sikre at SCA gjennomføres. Men når det gjelder effektiv gjennomføring av SCA ved kortbetalinger, kreves også involvering av betalingstjenesteleverandører (PSP) og forhandlerens bank.

Ikke alle transaksjoner krever SCA!

PSD2-reglene sier at transaksjoner initiert av betaleren krever SCA, derfor er det visse typer transaksjoner som ikke krever 2FA (tofaktorautorisering):

  • "Betalingsmottakerinitierte" (også kjent som forhandlerinitierte) transaksjoner anses ikke å være utløst av betaleren, derfor er de ikke tilgjengelige for SCA, men er unntatt fra SCA. Dette er et komplisert tema, derfor har vi et eget avsnitt om dette nedenfor

  • MOTO-løsninger (e-postordre, telefonbestillinger) og transaksjoner anses ikke for å være elektroniske, derfor unntatt fra SCA

  • “Cross Border” transaksjoner der enten utsteder eller kortinnløser ikke er basert i Europa, er unntatt fra SCA

Hva trenger nettbutikker å gjøre?

3D Secure må aktiveres for nettbaserte betalinger

Kravet om sterk kundeautentisering (SCA) under PSD2 betyr at godkjenning av betalere ikke lenger handler om innlogging. For alle relevante transaksjoner må SCA utføres. Dette betyr at korttransaksjoner må godkjennes via 3D Secure (eller tilsvarende for andre ikke-Visa og Mastercard-merker).

Hva er 3D Secure?

3D Secure er en sikkerhetsprotokoll utviklet for å beskytte kortinnehavere på nettet gjennom ekstra sikkerhetskontroller ved betalingstransaksjoner. 3D Secure leveres av individuelle kortordninger (Visa har for eksempel "Verified by Visa" og MasterCard har "SecureCode"), som er gjenkjennelig for forbrukerne ettersom disse merkene vises på 3D Secure-siden, når det klikkes på "bekreft". SCA via 3D Secure krever vanligvis en handling fra forbrukeren for å bekrefte at de faktisk utfører betalingen. I dag skjer det vanligvis i form av å bruke en mobilapplikasjon levert av utstederen eller SMS One Time Password (OTP) til forbrukerens telefon, med en kode som skrives inn i nettleseren for å fullføre transaksjonen. Den eksakte transaksjonsmetoden er det kortutstederen som velger. Et viktig poeng å merke seg ved bruk av 3D Secure for Visa og Mastercard, er at forhandleren er beskyttet mot tilbakebetalingsansvar ved svindel, dvs. det er et ansvarsskifte fra forhandler til utsteder. Denne ansvarsbeskyttelsen kan variere mellom ulike lokale og internasjonale kortordninger.

3D Secure vil ikke lenger være valgfritt ...

I hele Europa i dag velger forhandlere selv om de ønsker å tillegge 3D Secure til forbrukernes transaksjoner. Av enkelte forhandlere blir det sett på som årsak til friksjon som igjen påvirker konvertering til deres ehandelskanal/nettbutikk. På grunn av SCA-reguleringen vil 3D Secure bli påkrevd for nettbaserte betalinger med kort, med unntak av noen få scenarier (det kommer vi snart tilbake til). Vårt inntryk er at utstedere har god kontroll over SCA, og mange har uttalt at de ikke vil godkjenne betalinger som ikke mottar SCA via 3D Secure. I tillegg til å ikke overholde PSD2-direktivet, uten bruk av 3D Secure, øker risikoen for avviste transaksjoner betydelig for forhandlere, siden kortutstedere også må oppfylle PSD2 SCA-kravene. Den gode nyheten er at betalingsleverandører (PSP) og forhandlerens bank gjør det meste av 3D Secure-aktiveringen på vegne av forhandlerne. Kort sagt, med mindre du har et veldig tilpasset oppsett, vil Nets utstyre deg med 3D Secure uten at det kreves særlig arbeid fra din side.

Viktige bruksmåter

Er transaksjoner der forbrukerens kortdetaljer lagres innen rammen for SCA?

"Card on file" er der forhandleren lagrer forbrukerens kortdetaljer slik at det blir enklere neste gang de handler. Forbrukerne blir vanligvis bedt om å lagre sitt 16-sifrede kortnummer, utløpsdato og tresifret CVC / CVV-kode, slik at de kan hoppe over dette trinnet neste gang de kommer tilbake. Det faktum at disse detaljene lagres, gjør ingen forskjell i klassifiseringen av transaksjonen, hvis det er et forbrukerinitiert engangskjøp dvs. hvor forbruker først må velge varer i kurven og deretter kassa). Da gjenstår en enkeltstående transaksjon for SCAs formål. Så, der "Card on file" i dag brukes sammen med forbrukerinitierte enkeltkjøp, vil disse måtte gå gjennom 3D Secure (eller tilsvarende).

Hva er en forhandlerinitiert transtaskjon (MIT)?

MIT har disse nøkkelegenskapene:

  • Basert på avtale mellom forhandler og forbruker for levering av varer / tjenester over tid

  • Betalingen er basert på avtalen, og er i en sekvens / kjede med etterspurte betalinger fra forhandleren

  • Transaksjonene initiert av forhandleren trenger ikke å foregå på en spesiell måte fra forbrukerens side

  • Avtalen må signeres ved hjelp av SCA, etterpå er det ikke nødvendig med SCA Eksempler på MIT'er: Abonnementer på musikk- eller strømmetjenester og mobiltelefon

Må jeg godkjenne alle mine eksisterende avtaler?

Kort sagt, nei. Det finnes en regel som sier at eksisterende avtaler for gjentagende transaksjoner og MIT-er ikke trenger en ny SCA. Imidlertid må forhandlerens bank kunne referere til tidligere transaksjoner (gjennom Transaksjons ID) i kjeden for å validere statusen for gjentagende transaksjon/ MIT.

Sterk kundeautentisering (SCA) unntak

Det er forståelig at noen er bekymret for at SCA skal forårsake friksjoner med tanke på forbrukerens opplevelse av handleprosessen, og redusere konverteringen til forhandlernes salgskanaler. PSD2 fastsetter regler for når SCA kreves, men det er også definerte tilfeller der unntak fra SCA-kravet gjelder for de transaksjonene som faller innenfor rammen. Det påpekes igjen at forbrukerens bank (eller utsteder) har det ultimate ansvaret for SCA og dermed også unntakene. Unntakene til SCA er ikke bindende for banker, og de kan selv bestemme om de ønsker å tilby unntak eller ikke. Her er noen av unntakene til SCA, beskrevet under PSD2:

  • Lav verdi betalinger: Når en forbruker foretar en ekstern / nettbasert elektronisk transaksjon på opptil 30 EUR, kan denne transaksjonen utføres uten SCA. SCA må tillegges igjen, på enten 100 EUR av kumulative utgifter eller på den femte transaksjonen.

  • Transaksjonsrisikoanalyse (TRA): Dersom utstederen eller innkreveren utfører TRA og vurderer en transaksjon som har lav risiko for svindel, kan de frita transaksjonen fra SCA.

  • Foretrukket mottaker (aka hvitelistet): Når en forbruker har identifisert forhandleren/selgeren og har tillit til denne, og forutsatt at identifikasjonen av mottaker finner sted med SCA, vil de påfølgende transaksjonene med denne forhandleren ikke kreve SCA. Dette er en ny praksis under PSD2, og derfor forventer vi at det tar litt tid før SCA-unntak er fullt og helt implementert. Utstederne kan imidlertid fortsette å bære vår risikobaserte godkjenning (dvs. TRA) på den nåværende 3D Secure-løsningen, som også muliggjør passiv autentisering av forbrukeren.