Payment Services Directive 2 (PSD2) og Sterk Kunde Autentisering (SKA) – FAQ

PSD2 ble gjeldende 13. Januar 2018. Det er resultatet av en utvidelse av forskriftsmessige krav fra EU kommisjonen som styrer betalinger i Europa, og har blitt innarbeidet i lokal lovgivning av de individuelle medlemsstatene i EU.

Bestemmelsene i PSD2 trer ikke i kraft før 14. September 2019.

Ett av hovedmålene er å gjøre nettbetalinger tryggere for kunder. En kjernekomponent i jakten på dette målet er påkrevd bruk av Sterk Kunde Autentisering. Dette må bli brukt før alle bank-baserte nettbetalinger blir utført (f.eks. kredittkort betalinger eller bankoverføringer).

Hoveddelen av banker har allerede kontaktet deres kunder nylig for å informere dem om kommende endringer og forandringer i deres Vilkår og Betingelser.

I fremtiden må banker bekrefte to av tre kriterier vedrørende kunden før nettbetalinger startes:

• noe du eier (f.eks. kredittkort, smarttelefon)
• noe du vet (f.eks. PIN)
• noe du er (f.eks. fingeravtrykk, ansiktsgjenkjennelser)

Dette betyr at for å oppfylle kravene Sterk Kunde Autentisering gir, kunden kan måtte utlevere sitt fingeravtrykk ved bruk av en smarttelefon for å autorisere en betaling.

Slike biometriske metoder gjør det enkelt for kunden å identifisere seg selv, siden de bare må oppgi noe som alltid er med dem, i dette tilfellet en smarttelefon og ett fingeravtrykk.

Statiske passord er ikke lenger godt nok.

Banker må kreve at forhandlere krever Sterk Kunde Autentisering for kredittkortbetalinger. Forhandlere er derfor påkrevd å vise en side fra banken på deres webside, hvor kunden kan utvetydig identifisere seg selv. Dette sikrer at ingen uautoriserte personer kan få tilgang til bankkontoen og gjøre betalinger i kundens navn.

Overføringsbetalinger gjort av tredje-parter, slik som SOFORT i Tyskland eller iDEAL i Nederland krever også Sterk Kunde Autentisering.

Nei. PSD2 gir enkelte unntak i bruken av Sterk Kunde Autentisering.
Sterk Kunde Autentisering trenger ikke benyttes når:

• kundens bank anser det som en ubetydelig risiko at betalingen er fra en uautorisert tredje-part heller enn kunden
• Betalingen er på maksimum verdi 30€. NB: Banker må imidlertid kreve Sterk Kunde Autentisering dersom fem betalinger har blitt gjort siden siste autentisering, eller den totale mengden betalinger siden sist autentisering overstiger 100 EUR.
• kunden betaler til en forhandler som kunden har `hvitelistet’ i deres bank som en pålitelig mottaker. Kunden kan vanligvis gjøre dette under autentifiseringsprosessen.

Viktig:
Selv med disse unntakene kan kundens bank når som helst kreve Sterk Kunde Autentisering. Det er ingen garanti at Sterk Kunde Autentisering ikke vil bli påkrevd.

Sterk Kunde Autentisering er aldri påkrevd når:

• kunden har gitt forhandleren mandat for å initiere betalinger. Dette skjer når kunden registrerer seg for forhandlerens tjenester. Kunden gir de akkreditiver påkrevd for å gjennomføre betalingene og gir Sterk Kunde Autentisering.
• betalingen er gjort for ett abonnement. I slike tilfeller trenger bare kunden gi Sterk Kunde Autentisering når man tegner abonnementet.

Kundens bank er den som til slutt bestemmer hvilken Sterk Kunde Autentisering metode som blir tilbudt. Forhandleren kan ikke bestemme dette.

Forhandleren har ingen kunnskap om hvilken metode for Sterk Kunde Autentisering som kunden velger og tilbyr.

Dette er garantert gjennom at iframes blir brukt for å vise sidene for Sterk Kunde Autentisering som gitt av banken eller tredjeparts tilbydere (som f.eks. iDEAL).

Forhandleren har ingen påvirkning på eller tilgang til innholdet på iframe som vises på deres nettside.

På samme måte som for betalingsmetoder der forhandleren videresender kunden til betalingsløsningens side (f.eks. SOFORT) vet de ikke hvilken autentifiseringsmetode som tilbys eller blir valgt av kunden.

3D Secure er generelt en prosess som er designet for å gi trygghet for kredittkortbetalinger online. Det tar sikte på å redusere risikoen for svindel gjennom at kunden bekrefter deres identitet ved hjelp av en kode eller passord.

3D Secure 2.0 er en revisjon til denne prosessen slik at den kommer inn i kravene til PSD2, spesielt Sterk Kunde Autentisering.

For fremtiden vil også betalinger med kredittkort også kreve Sterk Kunde Autentisering gjennom bruken av 3D Secure 2.0.

Sterk Kunde Autentisering vil bli trygget gjennom bruk av 3D Secure 2.0 ved å bruke f.eks. en app gjennom kundens bank. Banksiden vist på forhandlerens side vil be kunden åpne appen på deres smarttelefon. Basert på hvilken metode som benyttes kan appen da be om kundens fingeravtrykk på smarttelefonen.

Banker kan tilby ulike autentifiseringsmetoder for kunden å velge mellom.

Andre mulige metoder inkluderer: engangspassord vist til kunden i en spesiell app, eller ansiktsgjenkjenning via kundens bank-app.

Nettbetalinger via betalingsformidlere som SOFORT, iDEAL, Multibanco eller Przelewy24 vil også måtte samle inn Sterk Kunde Autentisering i fremtiden.

Mange forhandlere og banker vil ikke være i stand til å støtte Sterk Kunde Autentisering innen 14. September 2019 som påkrevd.

Dette gjorde at 21. Juni 2019 anbefalte European Banking Authority (EBA) at EU statene og deres finansielle myndigheter ansvarlige for å overvåke innføringen av PSD2 at det skulle tilbys en forlengelse til slike firmaer.

Som ett resultat vil fristen bli respektert i enkelte land, mens andre vil tilby forlengelse til disse bankene.
Uansett, selv i land med denne forlengelsen vil noen banker starte å bruke Sterk Kunde Autentisering fra 14. September 2019.

For å finne ut når din bank vil kreve Sterk Kunde Autentisering vennligst kontakt banken din.