E-handlerens guide til SCA og 3D Secure

Alt hvad du bør vide om de nye regler for sikker betaling på nettet

Lørdag den 14. september træder de nye EU-regler om SCA (sikker kundeautentificering) i kraft. Reglerne er en del af EU-direktivet PSD2, som blandt andet har til formål at mindske risikoen for svindel ved digital betaling.

Annonce

Virksomheder og brancheforeninger inden for betalings- og e-handels-branchen har på det seneste udtrykt bekymring for konsekvenserne af, at betalingsvirksomhedernes tekniske løsninger ikke når at blive klar til 14. september.

Finanstilsynet har derfor vedtaget en overgangsordning, som indebærer, at banker, indløsere og PSP’er gradvist skal implementere reglerne i løbet af de kommende 18 måneder. Finanstilsynet vil derfor vente med at føre tilsyn med reglerne, til de 18 måneder er gået, dvs. 14. marts 2021.

I praksis betyder det, at e-handlere ikke behøver at frygte afviste betalinger, lige som de absurde udfordringer, som abonnementsforretninger kunne have stået med, ikke går hen og bliver til virkelighed. Overgangsordningen, som endnu ikke er beskrevet i detaljer, skal sikre en mere gnidningsfri overgang, ikke mindst for e-handlen.

Selv om det nu varer lidt, før reglerne er fuldt implementeret, kan det være relevant for dig som e-handler at vide, hvad de går ud på, og hvordan de påvirker din forretning.

I denne artikel har jeg samlet alt, hvad du har brug for at vide om SCA – og ikke mindst EMV 3D Secure (tidligere benævnt 3D Secure 2.0), som kommer til at spille tæt sammen med de nye regler.

Hvad er SCA?

SCA (Strong Customer Authentication) er en betalingsgodkendelsesprocedure, som består af mindst to af følgende tre faktorer:

  • Noget man ved, f.eks. en adgangskode eller en PIN-kode
  • Noget man har, f.eks. en smartphone eller et betalingskort
  • Noget man er, f.eks. fingeraftryk, ansigt eller iris (såkaldte biometriske data)

Disse skal være uafhængige af hinanden, så kompromittering af én af faktorerne ikke går ud over sikkerheden ved de andre faktorer. Det er med andre ord ikke længere nok at indtaste betalingskortnummer og CVV-kode. I stedet vil autentificeringen typisk ske ved hjælp af en engangskode, som sendes på SMS.

Med de kommende regler vil SCA som udgangspunkt være påkrævet ved alle digitale betalinger. Nogle betalingsformer opfylder i sig selv kravet om SCA, mens andre må gøre brug af en sikkerhedsprotokol for at opfylde kravet. For langt de fleste betalingsformer vil denne sikkerhedsprotokol være 3D Secure. Dankortet bruger dog Secured by Nets, der fungerer på lignende måde.

Annonce

De nye regler gælder for alle online betalinger inden for EØS, dvs. alle 28 EU-lande samt Norge, Island og Liechtenstein, og både webshoppen og den bank, der har udstedt kundens betalingskort, skal befinde sig i EØS.

Betalingsformer, der kræver 3D Secure

  • Internationale betalingskort (f.eks. Visa, MasterCard og American Express)
  • Dankort (bruger Secured by Nets i stedet for 3D Secure)
  • PayPal
  • Klarna ”Pay Now”, ”Pay Later” og ”Slice It”

Eftersom Klarna ”Pay Later” og ”Slice it” begge udsætter betalingen til kunden har fået varen og godkender sit køb, kræver disse ikke 3D Secure i checkout-flowet, men først når betalingen gennemføres.

Betalingsformer, der ikke kræver 3D Secure

  • Apple Pay
  • Google Pay
  • MobilePay
  • Bankoverførsel (autentificering sker via NemID eller tilsvarende)
  • Swish (er i virkeligheden en bankoverførsel)
  • Gavekort
  • Betaling i forbindelse med mail- og telefon-ordrer

Betalingsformer, der nogle gange kræver 3D Secure

  • ViaBill

SCA er påkrævet, første gang kunden bruger et betalingskort til ViaBill-betaling, men senere køb med samme kort er der ikke krav om SCA.

Fordele og ulemper ved SCA

For webshops giver 3D Secure den fordel, at ansvaret for en transaktion overgår til den bank, der har udstedt kundens betalingskort. Det betyder, at det er banken, der skal dække kundens tab i tilfælde af svindel, i stedet for webshoppen. Desværre gælder dette ikke for Dankort Secured by Nets, så i tilfælde af Dankort-misbrug må webshoppen selv punge ud.

SCA har til gengæld den ulempe, at det forlænger betalingsforløbet og dermed øger risikoen for, at kunden falder fra i sidste øjeblik. Det kan gå ud over konverteringen – nok ikke så meget som nogle gerne vil gøre det til, men trods alt så meget, at det betaler sig at udnytte mulighederne for at begrænse brugen af SCA.

SCA og EMV 3D Secure

At en betaling skal gå gennem 3D Secure, betyder ikke nødvendigvis, at den kræver SCA. De nye EU-regler indeholder en række undtagelser, som kan fritage rigtig mange betalinger for det ekstra autentificeringstrin – såfremt man altså bruger EMV 3D Secure.

Første del af processen i EMV 3D Secure er en krypteret dataudveksling mellem webshoppen og den bank, der har udstedt kundens betalingskort. Dataudvekslingen indeholder langt over 100 forskellige data om brugeren og den aktuelle transaktion, heriblandt kontakt- og leveringsoplysninger, beløb, betalingshistorik, tidspunkt, IP-adresse, geolokation samt oplysninger om en eventuel brugerkonto og den enhed, købet foretages på.

De mange data bliver analyseret ved hjælp af machine learning, og hvis der ikke er grund til mistanke om svindel, kan der gøres en undtagelse fra kravet om SCA. Skulle det modsatte være tilfældet, må SCA tages i brug, og kunden bliver bedt om at autentificere betalingen ved hjælp af en engangskode.

Kunden mærker intet til hverken dataudvekslingen eller analysen, og EMV 3D Secure forlænger kun betalingsforløbet, hvis SCA vurderes at være nødvendig.

SCA og 3D Secure 1.0 vs. 2.0

Betalingsforløb for digitale betalingsformer fra 14. september 2019


Undtagelser fra kravet om SCA

Nedenstående undtagelser kommer til at kunne fritage et stort antal transaktioner fra kravet om SCA. I første omgang vil de fleste af undtagelserne dog ikke kunne benyttes, da betalingsvirksomhederne endnu ikke har implementeret dem i tilstrækkelig grad. Den undtagelse, der gælder små transaktioner, kan dog benyttes allerede nu.

Undtagelserne gælder ikke automatisk. Reglerne er udformet sådan, at man skal spørge den kortudstedende bank om lov for at benytte sig af en undtagelse, og at banken har ret til at afvise en sådan anmodning. Dette er en sag mellem betalingsgateway og bank og derfor ikke noget, man behøver spekulere over som e-handler.

Små transaktioner

Som hovedregel kan onlinebetalinger under 225 kr. (30 €) fritages for SCA. Dog må SCA anvendes, hvis mindst ét af følgende to kriterier er opfyldt:

  • Den aktuelle transaktion er kundens femte af denne type med den pågældende betalingsform siden sidste brug af SCA.
  • Summen af kundens betalinger siden sidste brug af SCA (inkl. den aktuelle transaktion) udgør 750 kr. (100 €) eller mere.
Lavrisiko-transaktioner

Digitale betalinger på op til 3750 kr. (500 €) kan fritages for SCA, hvis de vurderes at være lavrisiko-transaktioner.

Når en betalingstransaktion påbegyndes, bliver der foretaget en real-time risikoanalyse (TRA, Transaction Risk Analysis) ud fra de data, der udveksles mellem webshoppen og den kortudstedende bank. I risikoanalysen indgår bl.a. data om brugerens sædvanlige adfærd og eventuelle afvigelser ved den pågældende transaktion. Vurderes risikoen at være tilpas lav, kan transaktionen fritages for SCA, og kunden kan altså springe det ekstra autentificeringstrin over.

Med EMV 3D Secure udveksles der mere end ti gange så mange data, som det er tilfældet med 3D Secure 1.0. Ovennævnte risikoanalyse kræver store mængder data og kan derfor kun udføres, hvis man bruger EMV 3D Secure.

Ifølge Visa vil hele 95 procent af alle transaktioner blive vurderet som lavrisiko med EMV 3D Secure. Eller sagt på en anden måde: Lavrisiko-undtagelsen skal angiveligt kunne fritage 19 ud af 20 transaktioner for SCA, hvis man bruger EMV 3D Secure.

Risikoanalysen bygger på machine learning, som fungerer bedre, jo flere data, man tilfører. Eftersom datagrundlaget til at begynde med ikke er så omfattende, vil det formodentlig tage et godt stykke tid, før risikoanalysen bliver i stand til at fritage 95 procent af alle transaktioner for SCA.

Eftersom 3D Secure 1.0 ikke rummer mulighed for at foretage en fyldestgørende risikoanalyse, må alle transaktioner over 30 Euro pålægges det ekstra autentificeringstrin.

Lavrisiko-undtagelsen kan i øvrigt kun benyttes, såfremt både indløseren og den kortudstedende bank har en tilstrækkeligt lav svindelrate. Jo større beløb det drejer sig om, jo strengere krav stilles der til svindelraten.

Transaktioner, der initieres af betalingsmodtageren (MIT)

MIT (Merchant Initiated Transaction) er betalinger, hvor kunden ikke er til stede i checkout-flowet, men i stedet betaler med et gemt kort. Rent teknisk er denne type betalinger slet ikke omfattet af SCA, men i praksis håndteres de som undtagelser, og der kræves SCA, når et kort gemmes eller i forbindelse med den første betaling.

MIT omfatter udsatte betalinger samt alle typer abonnementsbetalinger, dvs. både faste og variable beløb, som trækkes på faste eller variable tidsintervaller.

De nye EU-regler kommer ikke ind på, om betaling for abonnementer, der er oprettet før 14. september, kræver SCA. Den Europæiske Banktilsynsmyndighed (EBA) og EU-Kommissionen har dog offentliggjort en række udtalelser, som Finanstilsynet har kigget nærmere på.

– På baggrund af disse udtalelser er det Finanstilsynets forståelse, at der alene er krav om anvendelse af SCA, når der etableres eller ændres i en aftale om abonnementsbetaling, når dette sker via direkte debitering, gentagne kortbetalinger eller lignende, hvor betaleren ikke selv igangsætter den enkelte konkrete betaling, skriver Jon Hasling Kyed fra Finanstilsynets fintech-afdeling til Ehandel.dk.

Abonnementsaftaler, der er oprettet før 14. september 2019, kan altså fortsætte uden brug af SCA, så længe aftalerne ikke ændres, mens nye aftaler og ændring i eksisterende aftaler kræver SCA.

Ifølge Jon Hasling Kyed gælder fritagelsen for SCA ikke, hvis brugeren selv igangsætter den enkelte betaling (eksempelvis ved manuel betaling af en regning via netbank).

Hvidliste

Hvis en kunde registrerer en webshop som "betroet” via den bank, der har udstedt vedkommendes betalingskort, kan betalinger fra kunden til webshoppen fritages for SCA.

Sikre B2B-transaktioner

Betalinger fra én virksomhed til en anden, som foretages via såkaldte ”dedikerede betalingsprocesser eller -protokoller”, kan fritages for SCA.

Ifølge Finanstilsynet er det bl.a. muligt at benytte sig af denne undtagelse ved transaktioner via økonomistyringssystemer og ERP-systemer, der opfylder særlige sikkerhedsbetingelser.

Transaktioner, der initieres af betalingsmodtageren

Ved udsat betaling, abonnementer med variabelt beløb og andre betalinger, hvor kunden ikke er til stede i checkout-flowet, men i stedet betaler med et gemt kort, er der ikke krav om SCA.

Denne type transaktioner kaldes også MIT (Merchant Initiated Transaction). Rent teknisk er de slet ikke omfattet af SCA, men i praksis håndteres de som undtagelser, og der kræves SCA, når et kort gemmes eller i forbindelse med den første betaling.

De ovennævnte undtagelser gælder ikke automatisk. Reglerne er udformet sådan, at man skal spørge den kortudstedende bank om lov for at benytte sig af en undtagelse, og at banken har ret til at afvise en sådan anmodning. Dette er en sag mellem betalingsgateway’en og banken og derfor ikke noget, man behøver spekulere over som e-handler.

Flere gode grunde til at opgradere til EMV 3D Secure

Den første version af 3D Secure så dagens lys helt tilbage i 2001, mens e-handlen endnu trådte sine barnesko. Det var dengang, en telefon var en telefon, vores tegnebøger var fyldt til bristepunktet med plastickort, og computeren var vores eneste indgang til nettet.

3D Secure 1.0 er blevet opdateret flere gange siden da, men efterhånden som e-handlen tog fart og smartphones blev hvermandseje, kom 3D Secure 1.0 mere og mere til kort.

Det er lidt lige som at forsøge at tune en hestevogn. Man kan godt gøre vognen lettere, sætte nogle bedre hjul på og spænde flere heste for, men uanset hvor meget man forsøger, bliver hestevognen nu engang aldrig en racerbil.

Man besluttede derfor at bygge en racerbil fra bunden og sende hestevognen på pension. Racerbilen, EMV 3D Secure, blev sat i drift allerede i oktober 2016, men da den endnu mangler en del af sine hestekræfter, er hestevognen stadig i drift. Den forventes dog at blive pensioneret i slutningen af 2020.

3D Secure 1.0 bærer præg af at være blevet skabt, længe før de første smartphones kom på markedet. Når man som bruger skal bekræfte en betaling ved hjælp af en engangskode, bliver man omdirigeret til et nyt browservindue, hvor man næsten skal bruge en lup for at læse teksten og finde det lille felt, som engangskoden skal indtastes i.

EMV 3D Secure fungerer langt bedre på mobile enheder. Kunden kan nu godkende en betaling uden at forlade den app, hvor købet foregår, og uden at finde luppen frem. Ifølge Visa skal EMV 3D Secure reducere transaktionstiden med hele 85 procent og nedbringe andelen af forladte indkøbskurve med 70 procent.

Har du fået klar besked af din betalingsgateway?

Som e-handler er du afhængig af, at din betalingsgateway er compliant med de nye regler og informerer dig om dine handlemuligheder. Har du endnu ikke hørt fra din betalingsgateway i forbindelse med SCA-reglerne, vil jeg anbefale, at du tager kontakt til dem.

Læs Betalingsrådets guide

Du kan også læse om de kommende regler i guiden "Internetforretninger skal være særligt opmærksomme på nye EU­regler for betalinger", som Betalingsrådet udgav i juni.

Denne artikel er opdateret d. 11. september 2019.


ANDRE ARTIKLER OM SCA-REGLERNE: