Betalingsbranchen når ikke at blive klar, før de nye regler om sikker betaling træder i kraft
”Snart kan en tredjedel af alle nethandler blive afvist”, skrev TV2 Nyhederne i forgårs. En foruroligende overskrift og en artikel, der med FDIH-direktør Niels Ralunds dystre forudsigelser om afviste betalinger godt kan sætte gang i bekymringer, der går ud over nattesøvnen.
OPDATERING: Siden denne artikel blev skrevet, har Finanstilsynet vedtaget en overgangsordning, som skal løbe over de kommende 18 måneder. Det betyder, at Finanstilsynet først vil føre tilsyn med reglerne fra 14. marts 2021. Læs mere her.
Sagens omdrejningspunkt er de kommende regler om SCA (Secure Customer Authentification), som træder i kraft lørdag d. 14. september, og som kort fortalt går ud på, at alle digitale betalinger skal godkendes med såkaldt to-faktor-autentifikation. Inden for e-handlen kan dette f.eks. ske ved hjælp af en engangskode, som kunden får tilsendt på SMS og derefter skal indtaste for at godkende betalingen.
Nu hvor vi nærmer os 14. september, står det klart, at ikke alle nødvendige IT-løsninger når at blive færdige i tide, og det er konsekvenserne af dette, vi skal kigge nærmere på her.
Formålet med denne artikel er at fjerne unødige bekymringer og give dig som e-handler overblik over dine handlemuligheder, så du kan forberede dig til 14. september og igen kan se frem til en god nats søvn.
For at give dig et nuanceret billede af tingene har jeg talt med Susan Kaae, uafhængig betalingsekspert, Robert Mygind, direktør for betalingsgateway’en Reepay, og Jon Hasling Kyed fra Finanstilsynets fintech-afdeling.
Du kan læse meget mere om indholdet af de nye regler i E-handlerens guide til SCA og 3D Secure 2.0.
FDIH råber vagt i gevær
FDIH udtrykker stor bekymring over SCA-reglernes snarlige ikrafttræden og skriver bl.a., at ”lørdag d. 14. september kan blive en skæbnedag for mange danske netbutikker og kunder”. Ifølge FDIH risikerer man, at 120.000 handler dagligt vil blive afvist, hvis de nye regler træder i kraft efter planen d. 14. september.
– Vi er enige i målet om sikrere netbetalinger, men EU og EBA har leveret en gang lovsjusk, som betyder, at netbutikkerne risikerer at blive straffet for ikke at overholde regler, de slet ikke kan overholde. Det er helt på månen, og derfor ønsker vi, at erhvervsminister Simon Kollerup meddeler EU og EBA, at vi skal have en overgangsperiode på 18 måneder, så finanssektoren, de danske netbutikker og kunderne ikke bliver taget som gidsler, udtaler FDIHs direktør, Niels Ralund.
De seneste uger har finansmyndighederne i bl.a. Storbritannien, Irland og Tyskland vedtaget sådanne overgangsordninger, og flere lande ser ud til at følge trop.
I starten af august 2019 opfordrede paraplyorganisationen Ecommerce Europe, som består af e-handels-organisationer (deriblandt FDIH) i 19 europæiske lande og en række andre europæiske organisationer og virksomheder, i en fælles erklæring EU til at give branchen en overgangsperiode på 18 måneder.
FDIH har også forsøgt at påvirke Finanstilsynet i sagen, men ifølge FDIH "fastholder det danske Finanstilsyn, at finanssektoren skal efterleve kravene fra 14. september og afvise netbetalinger, der ikke opfylder lovens krav”.
Ganske vist har Finanstilsynet endnu ikke givet tilsagn om en overgangsordning, men der er heller ikke tale om en endelig afvisning af FDIHs krav.
– Finanstilsynet er i dialog med sektoren om, hvordan dette håndteres i Danmark. Hensynet er en fornuftig implementering af reglerne, uden at dette får uoverskuelige konsekvenser for dansk internethandel. Her skeler vi naturligvis også til, hvad myndighederne i andre lande gør, og hvad vi har mulighed for indenfor det regelsæt, der er vedtaget, skriver Jon Hasling Kyed fra Finanstilsynets fintech-afdeling til Ehandel.dk.
Vi må altså vente og se, om Finanstilsynet eller EU vælger at imødekomme FDIHs krav om en 18 måneders overgangsperiode. Ifølge betalingsekspert Susan Kaae bør vi meget snart få afklaring på dette spørgsmål:
– Det vil skabe store problemer, hvis det her træder i kraft d. 14. september, men hvis ikke Finanstilsynet melder noget andet ud i denne uge, så kommer det næppe til at ske. De kan ikke gøre det med en uges varsel. Det ville være svinsk over for forretningerne og leverandørerne, der har ligget vandret for at blive klar og vil have startet med at kommunikere ændringerne til deres kunder. 14 dages varsel er slemt nok, siger Susan Kaae.
SCA – En by i Rusland for hr. og fru Danmark
Det er de færreste danskere, der har hørt om SCA, endsige forstået hvad det går ud på, så når vi når til lørdag den 14. september, vil mange blive overraskede – eller mistænksomme – over det ekstra trin i betalingsprocessen, mener Susan Kaae.
Ifølge et notat fra Betalingsrådet kan man ovenikøbet blive bedt om at oplyse sit telefonnummer, hvis man ikke allerede har oplyst det til sin bank.
– Måske sidder du bare og forsøger at købe en bluse, og så kommer du ind i et flow på Nets’ hjemmeside, hvor du skal finde dit NemID frem. Måske har du ikke lige dit NemID på dig, for du skulle jo bare købe en bluse. Derfor ender du måske med at droppe købet.
Betalingsbranchen er ikke klar
De nye regler rummer en række undtagelser fra kravet om SCA. Både kortudsteder, indløser og betalingsgateway skal være i stand til at håndtere en lang række parametre, for at en betaling kan undtages fra SCA – eller sagt på en anden måde: Hvis blot et enkelt led i betalingskæden ikke er klar, skal kunden bekræfte sin betaling med en sms-kode.
Reglerne om SCA er en del af EU-direktivet PSD2, som blev offentliggjort allerede i 2015, så man kan undre sig over, hvorfor i alverden banker, indløsere og betalingsgateways ikke formår at overholde tidsfristen.
– Jeg har lidt på fornemmelsen, at når noget bliver alvor, så er det også, at al nervøsiteten kommer, i forhold til om forretningerne kan finde ud af det. Den nervøsitet ville man bare udskyde et år, hvis man skød indførslen et år. Vi har brug for de her regler, så lad os få dem nu, siger Vagn Jelsøe, vicedirektør i Forbrugerrådet Tænk, til TV2.
Ifølge både Susan Kaae og Robert Mygind fra Reepay har hverken banker, indløsere eller betalingsgateways dog ligget på den lade side. Branchen har længe arbejdet på at implementere de kommende regler, men eftersom der har været mange uklarheder om, hvordan direktivet skal fortolkes, har det været svært for betalingsvirksomhederne at klargøre deres systemer.
Også den såkaldte RTS (Regulatory Technical Standards) som Den Europæiske Banktilsynsmyndighed, EBA, udgav for snart halvandet år siden, affødte tilsyneladende flere spørgsmål, end den gav svar, og ifølge Robert Mygind har særligt kortselskaberne stillet mange spørgsmål til både Finanstilsynet og EBA.
– Hovedparten af omkostningerne og ændringerne har ramt udstederne og indløserne. Det er dem, der har været på overarbejde. Vores ændringer er forholdsvis begrænsede. Vi sidder sidst i fødekæden og skal bare forholde os til nye specifikationer fra indløsere, fortæller Robert Mygind.
Til trods for, at der kun er 17 dage til deadline, er betalingsvirksomhedernes arbejde med tilpasninger, ændringer og opdateringer langtfra overstået.
– Vi kommer til at arbejde med det et godt stykke tid, fordi der bliver ved med at komme ændringer. Vi fik den seneste opdatering i går, og der kan sagtens komme flere, siger Robert Mygind.
De mange ændringer giver også udfordringer i forhold til udviklingen af betalingsvirksomhedernes systemer til formålet.
– Vi plejer at have en forholdsvis lang testperiode. Vi har overhovedet ikke haft mulighed for at teste det her, og det er jo ikke nogen god måde at lave software på, siger Robert Mygind.
Den opdaterede version af 3D Secure er ikke på plads
Det mest alarmerende er dog, at opdateringen af 3D Secure, den sikkerhedsprotokol, som en stor del af alle betalinger skal sendes igennem, heller ikke er klar endnu. Med den opdaterede version, 3D Secure EMV, vil en stor del af alle transaktioner kunne undtages fra SCA på baggrund af en lang række parametre, der sendes med ved den enkelte transaktion.
Der kan bl.a. gøres undtagelse ved små beløb, abonnementsbetalinger og transaktioner med lav risiko.
– Selv når 3D Secure EMV bliver klar lige om lidt, vil man formodentlig ikke kunne udnytte alle parametrene, fordi det kræver, at alle parterne er klar til at sende alle parametrene med rundt, gemme dem i deres database og sende dem sikkert videre. Det er en kæmpe opgave, siger Susan Kaae.
Visa har proklameret, at lavrisikotransaktioner vil kunne fritage 95 % af alle transaktioner for SCA, men netop den realtime-risikoanalyse, der skal afgøre om en transaktion kan karakteriseres som lavrisiko, er endnu ikke på plads.
– Både forretningen, kortudstedende bank og indløser har mulighed for at foretage en risikoanalyse. Jeg ved, at både udstedere og indløsere kigger på det, men det er ikke noget, der bliver klar til 14. september. Beløbsgrænserne, altså de 30 € for nethandel og 50 € for fysisk handel, vil være på plads, men jeg tror faktisk, det vil være det eneste, der når at blive klar, siger Susan Kaae.
I praksis betyder det, at stort set alle betalingstransaktioner, der sendes gennem 3D Secure, indtil videre bliver pålagt SCA.
Blandt e-handlere, der benytter sig af abonnementsbetalinger, har der været stor bekymring om, hvorvidt den mangelfulde implementering vil gøre, at de såkaldte ”Merchant Initiated Transactions” (MIT), dvs. transaktioner hvor kunden ikke er til stede i betalingsforløbet, vil blive pålagt SCA. Ifølge Susan Kaae er denne bekymring helt reel.
– Der er en risiko for, at ikke alle parter er klar til at understøtte, at disse transaktioner bliver undtaget SCA, heller ikke selv om den første transaktion er foregået med 3D Secure eller Secured by Nets. Leverandørerne arbejder på det, siger hun og fortsætter: Det er en problemstilling, alle parter er opmærksomme på, og som der forhåbentlig bliver taget hånd om inden d. 14. september.
Hvad gør man som webshop?
SCA på langt de fleste betalinger lyder måske ikke fristende, men det er trods alt et bedre alternativ end at få alle betalinger afvist.
– Som webshop skal man sørge for at koble 3D Secure og Secured by Nets på sin butik. Det er det bedste og det eneste, man kan gøre for at undgå at transaktioner bliver afvist. Gør det så hurtigt som muligt, siger Susan Kaae.
Hun understreger også vigtigheden af at informere kunderne, så tingene ikke kommer bag på dem.
– Sørg for, at kunderne i din shop ved, hvad der kommer til at ske, når de kommer hen til betalingen, og hvorfor. Skriv det eventuelt i et nyhedsbrev med en overskrift à la ”Betalingsverdenen ændrer sig”. Man kan måske godt vente denne uge ud for at se, om Finanstilsynet vælger at udskyde ikrafttrædelsesdatoen, men man bør ikke vente længere end til på mandag med at gå i gang med at informere sine kunder, siger Susan Kaae.
Man kan også vælge at hjælpe sine kunder på forhånd ved at sende dem ind på Nets’ hjemmeside, hvor man kan koble sit telefonnummer til sit betalingskort.
– Så kan man sidde en fredag aften, finde sit NemID frem af skuffen og ordne det. Hvis jeg havde en webshop, ville jeg sende linket til Nets ud til mine kunder med en besked i stil med: ”Du kan godt vente, til du handler, men hvis du ordner det nu, hvor du har tid, så kan du gøre det i fred og ro.” Når kunden så når til lørdag d. 14. og støder ind i det og tænker ”Åh nej! Nå ja, for pokker da. Det er jo lidt min egen skyld, at jeg ikke gjorde det fredag aften,” så er der også en vis sandsynlighed for, at det ikke er forretningen, kunden bliver sur på, fortæller Susan Kaae.
ANDRE ARTIKLER OM SCA-REGLERNE: