sca blogg

Den 14 september 2019 är ett viktigt datum för e-handeln i Europa. Då införs ett krav på att alla betalningar på nätet ska verifieras av köparen, förutom några typer av betalningar som är undantagna. Den här förändringen är en del i strävan att göra EU till en enda inre marknad där samma regler gäller för alla och där konsumentskyddet är starkt. Kravet är en del i EU:s regelverk PSD2 (Payment Service Directive 2).

 Verifieringen av betalningarna ska ske genom att konsumenten godkänner betalningen med tvåfaktorsautentisering*.  EU:s regler kallar detta för Strong Customer Authentication (SCA) men på svenska kallar vi det det stark kundverifiering.

 I praktiken genomförs den starka verifieringen med hjälp av 3D Secure för Visa- och Mastercardbetalningar eller motsvarande. Övriga kortvarumärken har liknande lösningar, exempelvis använder American Express en lösning som kallas SafeKey men i den här texten kallar vi allt för 3D Secure för enkelhetens skull. Så kravet på SCA riktar sig mot den kortutgivande banken som behöver se till att deras konsumenter verifierar sig enligt reglerna, exempelvis med hjälp av Mobilt BankID. Så den stora förändringen blir i realiteten att alla europeiska webbutiker kommer behöva använda 3D Secure för alla kortbetalningar.  I Norden använder de flesta webbutikerna redan 3D Secure så här blir förändringen inte lika stor som i andra delar av Europa. 

Det intressanta med de nya reglerna är att det finns köp som inte behöver genomgå den starka kundverifieringen. Det öppnar för en ökad konvertering för de webbutiker som redan använder 3D Secure. Till exempel så omfattas inte köp som sker via telefon eller brevledes där man ger sitt kortnummer muntligt eller skriftligt (kallas ofta MOTO-betalningar - Mail Order/Telephone Order). Inte heller om kortutgivaren eller kortinlösaren är baserad utanför EU. Här kommer några fler situationer där konsumenten kan få slippa den starka kundverifieringen. 

 Undantag för prenumerationer med samma belopp

Det finns undantag för prenumerationsbetalningar men då gäller att första betalningen måste ske med stark kundverifiering och att följande transaktioner är på samma belopp.

Undantag för köp initierat av säljföretag

Detta undantag kan ske när säljföretaget drar pengar från ett sparat kort enligt avtal och konsumenten inte medverkar i en checkout. Exempelvis för prenumerationer där beloppet varierar, som när en konsument har lämnat medgivande till sin telefonoperatör att dra kostnaden för din förbrukning från sitt kort.

 Undantag för små belopp

För belopp under 30 EUR finns det också undantag från kundverifieringen. Men den måste ändå göras för var femte transaktion eller när det samlade beloppet för dessa köp passerar 100 EUR. Detta håller kortutgivaren reda på.

Undantag för köp med liten risk

Kortutgivaren kan också göra undantag om kortinlösaren har bedömt att det finns liten risk för bedrägeri på en transaktion. Det finns en mängd regler att ta hänsyn till här för inlösaren som vi inte går in på, men värt att notera är att inlösare som är duktiga på att minimera bedrägerier får möjlighet att begära undantag ända upp till 500 EUR.

Undantag för säljföretag på vitlista

Konsumenten ska kunna sätta upp företag på en vitlista hos sin kortutgivare och därmed slippa den starka kundverifieringen på efterföljande köp. Till exempel ger American Express redan idag sina kortkunder den möjligheten i samband med att de verifierar köpet med SafeKey.

Undantagen är inte en rättighet

Det är viktigt att förstå att det är den kortutgivande banken som beslutar om ett köp ska få använda sig av någon av undantagen. Du kan räkna med att olika kortutgivare kommer tillämpa dessa regler på olika sätt. 

3D Secure 2.0

För att den kortutgivande banken ska kunna godkänna ett undantag behövs det skickas in mycket mer data än vad som går att göra i dagens version av 3D Secure. Den nya versionen, som DIBS kommer att gradvis implementera, gör det möjligt att skicka med all data som krävs för alla undantag. Dessutom ger den nya versionen en bättre kundupplevelse både i desktop, appar och mobil, både i utseende och funktion. Det kommer dröja en tid innan alla nordiska kortutgivare och kortinlösare har stöd för den nya versionen, kanske först under nästa år.

Blir det bättre eller sämre?

För de allra flesta webbutikerna blir det bättre när alla aktörer i kedjan har uppdaterat sina system.  För en webshop som redan har ett normalt flöde där kortet auktoriseras och debiteras inom några dagar och som använder 3D Secure kommer det bli en förbättring på sikt. Detta beror på att undantagen, till exempel för för låg risk eller för små belopp, ger möjlighet att hoppa över den starka kundverifieringen vilket ökar konverteringen. Dessutom kommer den nya versionen av 3D Secure så småningom ge en bättre kundupplevelse i desktop, appar och mobil, både i utseende och funktion, vilket också kommer bidra.

 Företag som använder sig av en prenumerationsmodell med samma belopp vid varje dragning måste nu göra en kundverifiering vid första köpet. Därefter ber vi kortutgivaren om ett undantag för ”prenumeration med samma belopp”. Om det är en prenumerationsmodell med varierande belopp ber vi istället banken om ett undantaget ”Köp initierat av säljföretag”.

 Observera att om konsumentens bank inte godkänner något av de begärda undantagen måste konsumenten genomgå en stark kundverifiering. Här kan det alltså bli en försämring.

Vill du veta mer? Titta på inspelningen av vårt webinar om SCA med vår expert Nabeel Moosa.

* Tvåstegsautentisiering (2FA) innebär att verifieringen av betalningen måste bestå av två av dessa tre element: något du vet (t ex ett lösenord) - något du har (t ex din mobiltelefon) - något du är (t ex ditt fingeravtryck).  Det betyder att en verifiering där konsumenten  använder sin mobil och sitt mobila bankID uppfyller kravet på hur en stark kundverifiering ska gå till.

Patrik Müller

Patrik Müller

Jag har jobbat med betalningar inom e-handel i 15 år och har haft många olika roller under den tiden. Nu arbetar jag som e-handelsexpert på DIBS och för vårt moderbolag Nets. Bland annats så föreläser jag om e-handel, modererar evenemang och deltar i paneldiskussioner. Jag gör mycket omvärldsbevakning av e-handel och delar gärna av mig av mina fynd på Twitter och LinkedIn, så följ mig gärna där. Vill du höra av dig till mig med tips, åsikter eller kritik så kommentera i bloggen eller så mejlar du mig på patrik.muller@dibs.se. Texta eller ring på 0709-370 420.

Kommentarer