Värt att veta om Strong Customer Authentication (SCA)
Beroende på hur handlare hanterar sina betalningar idag kan de nya reglerna kring SCA väsentligt komma att påverka hur betalningar ska behandlas. Dessutom kan slutkonsumentens betalningsupplevelse bli annorlunda. Handlare behöver känna till följande för att vara redo:
- Autentisering via 3D Secure (eller motsvarande*) kommer att vara ett krav för kortbetalningar online. Nets betallösningar efterföljer SCA-kraven*. Kortleverantörer är ansvariga för SCA och kan framöver komma att ge avslag på transaktioner som inte är autentiserade.
- Gällande återkommande transaktioner eller de som är initierade av handlaren; dessa kommer att behöva markeras på ett korrekt sätt i auktoriseringsmeddelandet. Detta kan kräva uppdatering av dina PSP/Gateway APIs – du blir informerad om det behövs.
SCA behöver inte skapa friktion! Kortleverantörer blir allt bättre på att göra konsumentens autentisering smidigare, något som ytterligare förbättras med övergång till en nyare version av 3D Secure.
Exakt hur du som handlare ska implementera detta och vilka alternativ som finns tillgängliga beror på vilken betallösning från Nets du använder. Det är viktigt att du observerar din PSP-plattforms instruktioner för att säkerställa korrekt installation av 3D Secure.
Om du använder 3D Secure idag så uppfyller du redan kraven!
Vi vet att det finns mängder av förvirrande information gällande PSD2 och Strong Customer Authentication, så vi har skalat bort allt det oväsentliga och samlat det du faktiskt behöver känna till på ett överskådligt sätt nedan. Använder du Nets så tar vi hand om de svåra och förvirrande delarna så att du kan fokusera på det du gör bäst!
Nedan hittar du mer om detaljerna bakom PSD2 och SCA, samt annat som du behöver känna till om 3D Secure för att vara redo.
* Observera information för din specifika plattform då olika plattformar och kortnätverk kan ha olika krav och deadlines för godkänd efterlevnad.
Vad är Strong Customer Authentication (SCA) och vilka transaktioner omfattas?
Bedrägerier vid onlinehandel har ökat de senaste åren och blivit allt mer sofistikerade. För att bekämpa detta har nya regler kring Strong Customer Authentication (SCA) introducerats via EU's Payment Services Directive II (PSD2).
I grunden kräver PSD2 att alla elektroniska transaktioner (dvs kortbetalningar och banköverföringar) som initieras av köparen (dvs slutkonsumenten) använder SCA. Enligt PSD2 betyder Strong Customer Authentication and konsumenten behöver identifiera sig med tvåfaktorsautentisering (Two Factor Authentication, 2FA) under betalningsprocessen.
De två faktorerna måste vara fristående från varandra och ingå i någon av följande kategorier:
Något man vet: något som endast konsumenten känner till = ett lösenord, en pinkod
Något man har: något som endast konsumenten äger = en säkerhetsdosa, en mobiltelefon
Något man är: något som endast konsumenten kan uppvisa = biometriskt fingeravtryck, ansiktsigenkänning
När du i dagsläget handlar med kort online skriver du in kortnumret och får verifiera dig genom 3D Secure, exempelvis med ett lösenord som skickas på SMS.
Det är i slutändan konsumentens bank som är ansvarig för att tillgodose möjligheten till SCA-verifiering och att försäkra att den sker. Men för att utförandet ska bli smidigt vid ett kortköp krävs även samverkan med ansvarig Payment Service Provider (PSP) och handlarens bank.
SCA omfattar inte alla transaktioner!
Enligt PSD2 måste transaktioner initierade av betalaren använda SCA, vilket medför att vissa typer av transaktioner inte behöver 2FA:
- “Initierade av mottagaren” (även ”initierade av handlaren”) är transaktioner som inte anses vara initierade av betalaren och därmed inte är tillgängliga för SCA, varför de undantas från SCA-kravet. Detta komplicerade område beskrivs närmare i ett eget stycke nedan.
- MOTO (Mail Order, Telephone Order) är transaktioner via post eller telefon. Dessa anses inte anses vara elektroniska och undantas därmed från SCA-kravet.
- ”Utrikes” transaktioner, där antingen kundens eller handlarens bank har sin bas i Europa, undantas från SCA-kravet.
Vad behöver onlinehandlare göra?
3D Secure måste vara aktiverat för kortköp online
I och med kravet för Strong Customer Authentication (SCA) med införandet av PSD2 är autentisering av köpare inte längre något valfritt. För alla relevanta transaktioner måste SCA utföras. Detta innebär att kortköp måste autentiseras via 3D Secure (eller motsvarande för andra leverantörer än Visa och Mastercard).
Vad är 3D Secure?
3D Secure är ett säkerhetsprotokoll som tagits fram för att skydda kortägare vid onlineköp med ytterligare kontroller vid betalning. 3D Secure levereras av enskilda kortnätverk, exempelvis “Verified by Visa” av Visa och ”SecureCode” av MasterCard. Konsumenten känner då enkelt igen dessa varumärken vid bekräftelse på 3D Secure-sidan.
SCA via 3D Secure kräver vanligtvis en aktiv handling av köparen för att bekräfta att de faktiskt vill genomföra köpet. I dagsläget betyder detta vanligtvis inloggning på en app på mobilen som har koppling till köparens bank, eller inmatning i webbläsaren av en engångskod (One Time Password, OTP) som skickas via SMS till köparens mobil. Kortleverantören bestämmer vilka metoder som får användas.
En viktig notis att poängtera är att användning av 3D Secure för Visa och MasterCard innebär att handlaren skyddas från ansvar vid så kallat ”chargeback”-bedrägeri. Ansvaret förflyttas då från handlaren till köparens bank. Detta skydd kan variera för andra lokala och internationella kortnätverk.
3D Secure kommer inte längre att vara valfritt…
I dagsläget kan handlare i Europa generellt välja själva om de vill använda 3D Secure för sina kunders transaktioner. Vissa anser att den extra kontrollen kan skapa friktion och därmed påverka andelen köp som går igenom på deras e-handel. I och med regelverket som införs kommer dock 3D Secure att bli ett krav för kortköp online, med undantag för några fall (som vi kommer att gå igenom nedan). Det är kortägarens bank som är ansvarig för att SCA genomförs och många av bankerna har meddelat att de inte kommer att godkänna betalningar som inte verifierats med SCA via 3D Secure.
Förutom att bryta mot PSD2 medför avsaknad av 3D Secure alltså även en väsentlig risk för avslagna transaktioner för handlaren, då kortleverantörer också måste leva upp till SCA-kraven från PSD2.
Det positiva är att Payment Service Providers (PSP) och handlarens bank gör det mesta av arbetet med att aktivera 3D Secure åt handlaren. Med andra ord kommer Nets, om du inte har väldigt anpassade inställningar, att ordna 3D Secure åt dig utan att något extra arbete krävs från din sida.
Exempel på användning
Omfattas transaktioner där köparens kortinformation är lagrad sedan tidigare av SCA-kravet?
Sparade kort, så kallade “card on file”, innebär att köparens kortinformation är lagrad hos handlaren för framtida köp. Köparen frågas oftast vid checkout om de vill att kortets 16-siffriga nummer, utgångsdatum och tresiffriga CVC/CVV-kod ska lagras så att de slipper mata in dem vid nästa besök.
Att denna information finns lagrad sedan tidigare förändrar inte transaktionens klassifikation. Om det är en engångstransaktion initierad av köparen (dvs där köparen själv väljer varor och sedan går till checkout) så klassas den fortfarande som ett relevant engångsköp för SCA-kravet.
Där sparade kort idag används för engångsköp initierade av köparen kommer 3D Secure (eller motsvarande verifiering) att vara ett krav.
Vad är en Merchant Initiated Transaction (MIT)?
MIT'er (transaktioner initierade av handlaren) har följande kännetecken:
- Baseras på ett mandat/en överenskommelse mellan handlare och köpare gällande leverans av varor/tjänster över tid
- Betalning har sin grund i mandatet och är del av återkommande betalningsförfrågningar från handlaren
- Transaktioner initierade av handlaren måste inte efterfölja en ”specifik handling av köparen”
- Signering av mandatet måste verifieras med SCA, vartefter SCA inte behövs
Exempel på MIT'er: Abonnemang för musik- eller streamingtjänster, mobilabonnemang.
Behöver jag verifiera om mina befintliga avtal?
Kort sagt nej. En del av regelverket säger att befintliga avtal för återkommande betalningar och MIT:er inte behöver en ny SCA-verifiering. Handlarens bank måste däremot kunna referera till tidigare transaktioner (med Transaction ID) för att validera status för återkommande köp/MIT'er.
Dispens från Strong Customer Authentication (SCA)
Av förståeliga skäl finns det viss oro för att SCA kommer att skapa friktion i kundernas shoppingupplevelse och därmed reducera andelen avslut. PSD2 lägger fram reglerna för när SCA krävs, men den definierar också vissa fall där dispens från SCA-krav kan utfärdas även för relevanta transaktioner.
Det är viktigt att återigen påpeka att det är köparens bank (utfärdaren av kortet) som har det yttersta ansvaret för att SCA görs och därmed även för eventuell dispens från SCA-kravet. Dispensen från SCA är inte bindande för banker och de bestämmer själva om de vill erbjuda dispens.
Nedan följer några exempel på dispens från SCA-kraven beskrivna i PSD2:
- Små betalningar: När köparen gör en fjärrbetalning/elektronisk onlinetransaktion på upp till 30 EUR kan transaktionen göras utan SCA-verifiering. SCA måste återinföras igen om det kumulativa beloppet når 100 EUR eller vid den femte transaktionen.
- Transaction Risk Analysis (TRA): När köparens eller handlarens bank utför en TRA och bedömer att transaktionen har en låg risk för bedrägeri kan transaktionen få dispens från SCA.
- Trusted Beneficiary (även kallat whitelisting): När köpare har fastställt så kallade Beneficiaries (handlare) som de köper från och litar på, förutsatt att fastställningen skett med SCA-verifiering, så kan framtida transaktioner med den handlaren göras utan SCA-verifiering.
Detta är ny praxis i och med PSD2, varför vi räknar med att det kommer dröja en stund innan dispens från SCA blir vanligt förekommande. Kortleverantörer kan däremot fortsätta utfärda så kallad Risk-Based Authentication (dvs TRA) på befintliga lösningar med 3D Secure, vilket tillåter passiv verifiering av köparen.