DIBS blog

Slik fungerer SCA – EUs nye krav til kortbetalinger

Banner_blog_Slik fungerer SCA

14. september 2019 er en viktig dato for e-handelen i Europa. Da innføres det nemlig et krav om kjøperen må verifisere alle betalinger på nett utenom noen få typer. Denne endringen er en del av arbeidet for å gjøre EU til et indre marked der de samme reglene gjelder for alle og der forbrukerbeskyttelse står sterkt. Kravet er en del av EUs andre betalingstjenestedirektiv (Payment Service Directive 2). 

Verifiseringen av betalingene skal skje ved at forbrukeren godkjenner betalingen med en tofaktorautentisering*. EUs regelverk omtaler dette som Strong Customer Authentication (SCA), som vi på norsk kaller sterk kundeautentisering.

I praksis gjennomføres den sterke kundeautentiseringen ved hjelp av 3D Secure. Kravet om SCA er rettet mot banken som utsteder kortet. Denne er i sin tur ansvarlig for å sørge for at kundene deres verifiserer seg i henhold til reglene, for eksempel ved hjelp av BankID på mobil. Den store endringen blir i realiteten at alle europeiske nettbutikker kommer til å måtte bruke 3D Secure. I Norden gjør de fleste nettbutikkene dette allerede, så her vil ikke forandringen bli like merkbar som i andre deler av Europa.

Det interessante med de nye reglene er at enkelte kjøp ikke trenger å gjennomgå den sterke kundeautentiseringen. Dette åpner for økt konvertering for de nettbutikkene som allerede bruker 3D Secure. For eksempel omfattes ikke kjøp som skjer via telefon eller e-post, der man oppgir kortnummeret sitt muntlig eller skriftlig (også kalt MOTO – Mail Order / Telephone Order). Det samme er tilfelle dersom kortutstederen eller kortinnløseren har tilhold utenfor EU. Her er noen flere eksempler der forbrukeren er fritatt fra den sterke kundeautentiseringen. 

Unntak for abonnementer med samme beløp
Abonnementsinnbetalinger er unntatt ordningen, forutsatt at den første betalingen skjer med sterk kundeautentisering og at de følgende transaksjonene har det samme beløpet.


Unntak for kjøp initiert av salgsbedrifter
Dette unntaket gjelder når salgsbedriften trekker penger fra et lagret kort i henhold til en avtale, og forbrukeren ikke trenger å delta i handelen. For eksempel abonnementer der beløpet varierer, som når en forbruker har gitt mobiloperatøren sin tillatelse til å trekke kostnadene for mobilbruk fra kortet sitt.


Unntak for småbeløp
Det finnes også unntak fra kundeautentiseringen for beløp under 30 euro, men den må allikevel utføres for hver femte transaksjon eller når det samlede beløpet for disse kjøpene overstiger 100 euro. Dette er det kortutstederen som holder styr på.


Unntak for kjøp med liten risiko
Kortutstederen kan også gjøre unntak dersom kortinnløseren har vurdert at risikoen for svindel i forbindelse med en transaksjon er liten. I den forbindelse finnes det en rekke regler som innløseren må ta hensyn til, som vi ikke skal gå nærmere inn på her. Det er imidlertid verdt å merke seg at innløsere som er flinke til å redusere svindel, kan be om unntak for beløp opptil 500 euro.


Unntak for salgsbedrifter på hvitliste
Tanken er også at forbrukere skal kunne sette bedrifter på en hvitliste hos kortutstederen sin og dermed slippe den sterke kundeautentiseringen ved etterfølgende kjøp. Det er fortsatt ikke helt klart hvordan dette skal fungere i praksis.


Unntakene er ikke en rettighet
Det er viktig å merke seg at det er den kortutstedende banken som bestemmer om et kjøp skal kunne vurderes som et unntak. Du må regne med at ulike kortutstedere vil tolke reglene noe forskjellig.


3D Secure 2.0
For at den kortutstedende banken skal kunne godkjenne et unntak, må det sendes inn mye mer informasjon enn hva som er mulig i dagens versjon av 3D Secure. Den nye versjonen, som DIBS kommer til å ta i bruk, gjør det mulig å sende inn all informasjon som kreves for alle unntak. I tillegg vil den nye versjonen gi en bedre kundeopplevelse både med hensyn til utseende og funksjonalitet, for datamaskin, apper og mobil.

 

Er dette en forbedring eller en forverring?

For de fleste nettbutikker blir det bedre. For nettbutikker som allerede har innarbeidede rutiner der kort autoriseres og debiteres i løpet av noen få dager, og som bruker 3D Secure, vil det bli en forbedring på sikt. Dette skyldes at unntakene, som for eksempel unntak for lav risiko eller små beløp, gjør det mulig å hoppe over den sterke kundeautentiseringen, noe som øker konverteringen. I tillegg vil den nye versjonen av 3D Secure gi en bedre kundeopplevelse både med hensyn til utseende og funksjonalitet, for datamaskin, apper og mobil, noe som også vil bidra positivt.


Bedrifter som bruker en abonnementsmodell med likt beløp ved hvert trekk, vil nå måtte utføre en kundeautentisering ved det første kjøpet. Deretter vil vi be kortutstederen om et unntak for «abonnement med samme beløp». Hvis abonnementsmodellen opererer med varierende beløp, ber vi i stedet banken om et unntak for «kjøp initiert av en salgsbedrift».


Vær oppmerksom på at dersom forbrukerens bank ikke godkjenner noen av de anmodede unntakene, må forbrukeren gå gjennom en sterk kundeautentisering. For abonnementer kan dette for eksempel gjøres ved å sende en e-post til forbrukeren om at transaksjonen må godkjennes via en medfølgende lenke. Dette kan altså bli mer komplisert enn hva det har vært tidligere.


* Tofaktorautentisiering (2FA) innebærer at verifisering av en betaling må bestå av to av disse tre elementene: noe du vet (for eksempel et passord) – noe du har (for eksempel mobilen din) – noe du er (for eksempel fingeravtrykket ditt).
Dette betyr at en verifisering der forbrukeren bruker mobiltelefonen sin og BankID på mobil, oppfyller kravet til hvordan den sterke kundeautentiseringen skal utføres.

DIBS AS
Hoffsveien 1 E
NO - 0213 Oslo
Tlf: 21 55 44 00