Nye regler for sikker betaling fra 14. september
Utallige sager om svindel med betalingskort har fået EU til at skærpe kravene til sikkerheden ved online-betaling. Det får betydning for europæiske webshops, når reglerne om SCA (Strong Customer Authentication) træder i kraft d. 14. september.
OBS: DENNE ARTIKEL ER IKKE LÆNGERE UP-TO-DATE.
Læs i stedet E-handlerens guide til SCA og 3D Secure (opdateret 11/9)
SCA-reglerne
Reglerne om SCA er en del af EU-direktivet PSD2, som bl.a. har til formål at mindske risikoen for svindel ved digitale betalingstransaktioner. Kort fortalt går SCA-reglerne ud på, at alle online-betalinger fremover skal autentificeres af kunden ved hjælp af to af følgende:
- Noget man ved, f.eks. en adgangskode eller en PIN-kode
- Noget man ejer, f.eks. en smartphone eller en hardware-token
- Noget man er, dvs. biometriske data, som kan aflæses ved hjælp af f.eks. en fingeraftrykslæser, en irisscanner eller ansigtsgenkendelsessoftware.
I langt de fleste tilfælde vil denne autentificering blive foretaget ved hjælp af 3D Secure.
SCAs betydning for webshops
Hvis en betaling går gennem SCA, overgår ansvaret til den bank, der har udstedt kundens betalingskort. Det er altså ikke webshoppen, men banken, der dækker kundens tab i tilfælde af svindel.
Til gengæld har SCA den ulempe, at det forlænger checkout-forløbet, hvilket øger risikoen for, at kunden falder fra i sidste øjeblik.
Ehandel.dk har talt med Erik Olofsson, nordisk direktør for betalingsleverandøren Stripe, som allerede for to år siden begyndte at forberede sig på SCA.
– Da de lavede en lignende ændring i Indien for et par år siden, så man fra den ene dag til den anden, at konverteringen faldt med 20 %. Visa tror ikke, at det kommer til at påvirke Europa lige så meget, men de tror, at det kan ligge omkring 10 % i begyndelsen, siger Erik Olofsson.
Om SCA rent faktisk får så stor indflydelse på konverteringen, er dog tvivlsomt. Thomas Jensen fra danske QuickPay tror ikke, at konverteringsfaldet bliver så markant.
– 3D Secure bliver stadig mere og mere almindeligt at skulle igennem, når man foretager køb online, og det kan vi også se på vores tal. På kun et år er andelen af alle betalinger gennem QuickPay med 3D Secure gået fra 10% til 16%. Både butikker og kortholdere har efterhånden vænnet sig til, at der er noget, som hedder 3D Secure. Og de merchants, vi taler med, som har indført 3D Secure, oplever ikke noget større/målbart fald i konverteringerne, fortæller Thomas Jensen.
Ifølge Thomas Jensen tegner der sig omtrent det samme billede for Dankort-betalinger, som i stedet for 3D Secure autentificeres med ”Secured by Nets”.
– De merchants, vi har talt med, har næsten udelukkende positive tilbagemeldinger. Også for Secured by Nets gælder det, at det er ca. 16% af alle Dankort-transaktioner som kører med Secured by Nets, siger Thomas Jensen.
Hvilke betalingsformer kræver 3D Secure?
Kravet om SCA gælder for alle digitale betalingsformer. Nogle af dem opfylder betingelserne i sig selv og behøver derfor ikke 3D Secure. Det gælder bl.a. de digitale wallets Apple Pay og Google Pay, og der vil højst sandsynligt være flere betalingsformer, der kan opfylde kravet om SCA uden brug af 3D Secure.
– Mht. MobilePay Online ved jeg, at de arbejder hårdt på at få aftaler igennem med de forskellige kortudstedere om, at MobilePay Online skal "accepteres" som SCA. I langt, langt de fleste tilfælde vil forbrugeren ikke opleve nogen problemer eller ændringer i forbindelse med MobilePay Online, fortæller Thomas Jensen.
Betalinger med bl.a. Visa og MasterCard kommer derimod ikke uden om 3D Secure, lige som Dankort-betalinger må igennem Secured by Nets.
– De fleste kortbetalinger vil kræve autentificering med 3D Secure. Ved bankoverførsler – og Swish – bliver brugere normalt autentificeret, når de logger ind på deres bankkonto, og når de begynder at overføre. Bankautentificering sker ikke via 3D Secure, men ved hjælp af f.eks. NemID eller det svenske BankID, siger Erik Olofsson.
Han fortæller, at der endnu er uklarhed om, præcis hvilke betalingsformer der kommer til at kræve SCA.
– Klarnas "Pay Now" vil sandsynligvis kræve SCA. Derimod er "Pay Later" teknisk set en faktura / udskudt betaling, så jeg tror ikke, at SCA er nødvendig i checkout-processen. I stedet skal SCA bruges, når kunden rent faktisk betaler fakturaen et par uger senere, siger Erik Olofsson.
Hvem gælder reglerne for?
De nye regler gælder for alle digitale betalingstransaktioner inden for EØS, dvs. alle 28 EU-lande plus Norge, Island og Liechtenstein.
– Man taler om ”one-leg”- og ”two-leg”-korttransaktioner. Det er en ”two-leg”-transaktion, hvis både webshoppen og den bank, der har udstedt kundens betalingskort, befinder sig i EU eller EØS. Har du for eksempel et europæisk udstedt kort, som du bruger uden for Europa, så gælder reglerne ikke, fortæller Erik Olofsson.
Kun ganske få typer online-betaling falder uden for PSD2s anvendelsesområde. Det drejer sig om betaling med gavekort samt betaling i forbindelse med mail- og telefon-ordrer.
SCA og 3D Secure 2.0
At en transaktion skal gå gennem 3D Secure, er ikke altid ensbetydende med, at den kræver SCA. Reglerne om SCA rummer en række undtagelser, som kan gøre en afgørende forskel, hvis man bruger 3D Secure version 2.0.
Første del af processen i 3D Secure 2.0 er en dataudveksling mellem webshoppen og den kortudstedende bank. Ved hjælp af machine learning og mere end 100 forskellige data om kunden og den igangværende transaktion, heriblandt beløb, valuta, betalingshistorik, tidspunkt, geolokation, IP-adresse, enhed og bevægelser, bliver det vurderet, om transaktionen kan fritages for SCA. I modsat fald vil kunden blive bedt om at autentificere betalingen ved hjælp af en engangskode.
Dataudvekslingen er usynlig for kunden, og 3D Secure 2.0 forlænger således kun betalingsforløbet, hvis det vurderes, at SCA er påkrævet.
Undtagelser fra SCA
Jo færre transaktioner der pålægges SCA, jo mindre påvirkes konverteringen. Undtagelserne, der er beskrevet i det følgende, gør det muligt at undgå SCA ved mange transaktioner.
Undtagelserne gælder dog ikke automatisk. Reglerne fungerer sådan, at man skal spørge den kortudstedende bank om lov for at benytte sig af en undtagelse, og banken har ret til at afvise en sådan anmodning.
– PSP’en skal spørge den kortudstedende bank om fritagelse for hver transaktion. En PSP kan dog indgå en aftale med en webshop om at anmode om specifikke undtagelser – f.eks. ”low value” – ved hver enkelt transaktion, siger Erik Olofsson.
Inden for online-handel kan man anmode om følgende undtagelser:
”Low value”-transaktioner
Onlinebetalinger under 30 € (225 kr.) kan i udgangspunktet fritages for SCA. Dog skal SCA anvendes, når mindst ét af følgende er tilfældet:
- Den aktuelle transaktion er kundens femte ”low value”-betaling med den pågældende betalingsform siden sidste brug af SCA.
- Kundens betalinger (inkl. den aktuelle transaktion) siden sidste brug af SCA udgør samlet 100 € (750 kr.) eller mere.
”Low risk”-transaktioner
Onlinebetalinger op til 500 € (3750 kr.) kan fritages for SCA, hvis de vurderes at være lavrisiko-transaktioner.
Når en betaling påbegyndes, foretages der en real-time risikoanalyse ud fra de data, som udveksles mellem webshoppen og den kortudstedende bank. Her tages der bl.a. højde for brugerens normale mønstre og eventuelle afvigelser ved den pågældende transaktion.
Hvis risikoen vurderes at være tilpas lav, kan transaktionen fritages for SCA, og kunden kan dermed springe det ekstra autentificeringstrin over.
”Low risk”-undtagelsen kan kun benyttes, såfremt både indløseren og kortudsteder har en tilpas lav svindelrate. Jo større beløbet er, jo strengere er kravene til svindelraten.
Ifølge Visa vil hele 95 % af alle transaktioner blive vurderet som ”low-risk, hvis man bruger 3D Secure 2.0. Eller sagt på en anden måde: ”Low risk”-undtagelsen skal angiveligt kunne fritage 19 ud af 20 transaktioner for det ekstra autentificeringstrin.
Abonnementsbetalinger
Betaling af abonnementer, hvor beløb og modtager er de samme hver gang, kan fritages for SCA. Dog må den første betaling autoriseres.
Betaling for abonnementer, der er oprettet før 14. september 2019, er ikke omfattet af de nye regler og kan derfor fortsætte uden brug af SCA.
Hvidliste
Hvis en kunde registrerer en webshop som "betroet”, kan kunden foretage betalinger til webshoppen uden brug af SCA.
Sikre B2B-transaktioner
Betalinger, der foretages med firmakort via såkaldte ”dedikerede betalingsprocesser eller -protokoller”, kan fritages for SCA.
Sælger-initierede transaktioner
En sælger-initieret transaktion er en betaling med et gemt kort, hvor kunden ikke er til stede i checkout-flowet. Det kan f.eks. være ved udsat betaling og abonnementer med variabelt beløb.
Teknisk set er denne type transaktioner ikke omfattet af SCA, men i praksis skal de håndteres som undtagelser, og der kræves SCA, når kortet gemmes eller ved første betaling.
3D Secure 1.0 vs. 3D Secure 2.0
3D Secure 2.0 er en væsentlig opgradering i forhold til den forrige version.
Med 3D Secure 1.0 udveksles der langt færre data mellem webshoppen og den kortudstedende bank, end det er tilfældet med 3D Secure 2.0. Det betyder, at 3D Secure 1.0 ikke giver mulighed for at vurdere behovet for SCA, og at alle transaktioner derfor må pålægges det ekstra autentificeringstrin.
En anden fordel ved 3D Secure 2.0 er mobilvenligheden. Hvor 3D Secure 1.0 bærer præg af at være blevet skabt, længe før de første smartphones kom på markedet, fungerer 3D Secure 2.0 langt mere gnidningsfrit på mobile enheder. Eksempelvis kan kunden godkende en betaling uden at forlade den app, hvor købet foregår.
Desuden reklamerer Visa med, at 3D Secure 2.0 reducerer transaktionstiden med 85 procent og at 70 procent færre vil springe fra i betalingsprocessen, hvis man bruger 3D Secure 2.0.
Hvordan forbereder man sig til SCA?
Eftersom SCA forlænger betalingsprocessen og øger risikoen for at gå glip af ordrer, bør man som webshop stræbe mod at undgå overflødig brug af SCA.
– Det, der bliver vigtigt for e-handlere, er at samarbejde med en betalingsudbyder, som ved, hvilke undtagelser man skal spørge efter, og hvordan man skal spørge efter dem, afhængig af hvilken bank, der har udstedt kortet, siger Erik Olofsson.
Han opfordrer e-handlere til at tage en snak med forskellige PSP’er om, hvad de vil gøre for at minimere antallet af transaktioner, der kræver SCA, hvilke undtagelser de kommer til at understøtte.
Men det vigtigste af det hele er dog 3D Secure version 2.0, som er nøglen til at springe over SCA i mange tilfælde.
Tobias Lindh, Country Manager for Norden og Baltikum hos betalingsleverandøren Adyen, gør opmærksom på, at de nye regler endda kan være en fordel for e-handlere, som gør den nødvendige indsats for at blive klar til 14. september, herunder sørger for at være opdateret til 3D Secure 2.0.
– Hvis konverteringen falder, mister man ikke alene omsætning, men også markedsandele i forhold til konkurrenterne. Omvendt kan man som e-handler vælge at se de nye regler som en enestående chance for at styrke sin position på markedet, siger Tobias Lindh.
Hvad sker der, hvis man ikke overholder kravet om SCA?
– Hvis man slet ikke tilbyder 3D Secure, vil alle korttransaktioner i princippet blive blokeret fra 14. september. Vi tror nu ikke, at særlig mange kommer til at havne der. Den praktiske worst-case er, at man kører den gamle version af 3D Secure på alle korttransaktioner, afslutter Erik Olofsson.
ANDRE ARTIKLER OM SCA-REGLERNE: