Deadlines, utsettelser og utrulling – i dette blogginnlegget finner du oppdatert informasjon om innføringen av sterk kundeautentisering og utfasingen av 3-D Secure 1.
Hvordan påvirker PSD2, SCA og 3-D Secure e-handelen?
PSD2, eller EUs reviderte betalingstjenestedirektiv, er et EU-direktiv som skal sørge for sikrere betalinger på nett. PSD2 dekker mange ulike områder innen betalinger og banktjenester. En viktig del av PSD2 er sterk kundeautentisering (en:strong customer authentication, SCA).
Sterk kundeautentisering, eller SCA, handler om sikkerhet. Kortutstedende banker må kreve dokumentasjon på at kunden er den han eller hun utgir seg for å være. Dersom dette ikke blir fremlagt, vil kjøpet bli avvist.
Bransjestandarden for slik datautveksling kalles 3-D Secure. Det finnes to ulike standarder for 3-D Secure, versjon 1 og versjon 2. E-forhandlere må dermed tilby en form for 3-D Secure for at kjøpet skal gå gjennom.
SCA skal sørge for sikrere betalinger på nett
Innføringen av SCA som en del av PSD2 har vært forskjellig på ulike markeder, og varierer fra bank til bank. Noen land har bestemt seg for å utsette kravet om SCA, noe som i praksis betyr at det ikke kreves 3-D Secure for at alle kjøp skal gå gjennom. Derimot kan enkelte banker kreve SCA selv om dette ikke er lovfestet i det aktuelle landet. Adyen anbefaler derfor at alle bedrifter som tar betalt på nettet i Europa, er klare med den nyeste standarden av 3-D Secure 2.
3-D Secure 2 har flere fordeler fremfor 3-D Secure 1. 3-D Secure 2 gir for eksempel høyere konvertering for e-forhandlerne, en mer strømlinjeformet opplevelse for brukeren og mer data til den kortutstedende banken. Fra og med29. desember 2020begynner Visa og Mastercard utfasingen av 3-D Secure 1.
PSD2-datoer: disse må du ha kontroll på
PSD2, SCA og 3-D Secure kan være komplisert å sette seg inn i, fordi alle land og kortutstedere behandler kravene forskjellig.
Adyen behandler alltid 3-D Secure dynamisk. Dette innebærer at Adyens betalingsplattform tilpasser seg beredskapen hos forbrukerens kortutstedende bank. Avhengig av banken trigges 3-D Secure 1 eller 2. For norsk e-handel betyr dette at man kan benytte seg av fordelene ved 3-D Secure 2, men fremdeles falle tilbake på 3-D Secure 1 hvis beredskapen hos banken er lav.
Viktige datoer for PSD2
Informasjon fra kortnettverkene
Kortutsteder / kortnettverk | Nøkkelmarkeder | Syn på SCA |
---|---|---|
Mastercard | De fleste debetkort i Sverige er co-brandede Mastercard. | Mastercard forventer at alle e-forhandlere skal ha beredskap med 3-D Secure 2 etter 1. juli 2020. Ut over dette følger de tidsskjemaet som er satt av hvert enkelt EU-land (mer informasjon om dette lenger ned). |
Visa | I Sverige utstedes Visakort av banker som Nordea, Swedbank og Skandiabanken. I Norge og Danmark er alle debetkort co-brandede Visa og Mastercard. | Visa forventer at alle banker som utsteder Visakort, har beredskap for 3-D Secure 2 etter 14. mars 2020. 1. juli 2020 innførte Visa et gebyr for e-forhandlere for kjøp som blir avbrutt pga. 3-D Secure 1. Etter 14. september 2020 forventer Visa at alle e-forhandlere er klare med 3-D Secure 2. |
American Express | American Express, eller Amex, utsteder egne kort over hele verden. | Amex kommer til å oppfylle kravene til SCA fullt ut etter 31. desember 2020. |
Dankort | Dankort er Danmarks innenlandske kortnettverk. Dankort er co-brandede Visa, men behandles i første rekke som Dankort. | Dankort kommer til å kreve SCA fra og med 31. desember 2020. |
BankAxept | BankAxept er Norges innenlandske kortnettverk. Norge har valgt å innlemme PSD2 i vårt eget lovverk, til tross for at vi står utenfor EU. | Reglene for sterk kundeautentisering gjelder i Norge, men bedrifter kan be om unntak. Ettersom BankAxept-kort er co-brandede Visa, gjelder reglene for Visa i Norge. |
JCB | JCB er et japansk kortnettverk. De har ikke kommunisert sitt syn på PSD2, SCA eller 3-D Secure. | |
Cartes Bancaire | Cartes Bancaire er Frankrikes innenlandske kortnettverk. | De kommer til å innføre såk. 'soft declines' frem til deadlinen for SCA i Frankrike, som er 31. mars 2021. |
Diners / Discover | Diners og Discover er amerikanske debet- og kredittkort. | De kommer til å innføre såk. 'soft declines' etter 14. oktober 2020 på transaksjoner som ikke oppfyller SCA. |
UnionPay | UnionPay er et kinesisk kortnettverk. De har ikke kommunisert sitt syn på PSD2, SCA eller 3-D Secure. |
SCA i Norge og resten av Europa
Adyens undersøkelse Retailbarometeret 2019 viste at bare 23 prosent av de nordiske bedriftene var forberedt på PSD2 før 14. september 2019 – bak Tyskland, Spania, Frankrike og Italia.
Nordiske firmaer oppga at de ikke var forberedt på PSD2
Til tross for dette harFinanstilsynetvarslet at Norge har fulgt EUs anbefaling om å innføre kravet til sterk kundeautentisering fra og med 14. september 2019. Dette innebærer at norske banker må rette seg etter kravet om å be om sterk kundeautentisering. Per i dag ser vi at det er brukbar beredskap hos kortutstedende banker for å ta imot 3-D Secure 2 som standard.
For de som selger internasjonalt, er det viktig å være bevisst på hvilke land som har gitt bankene utsettelse på å innføre krav til SCA. Slik er situasjonen i de ulike landene:
Land | Kommentar |
---|---|
Belgia | Reglene gjelder fra 14. september 2019, med visse unntak. Belgia kommer til å innføre reglene i sin helhet innen 31. desember 2020. |
Danmark | I Danmark kommer reglene for SCA til å gjelde fra 31. mars 2020. Legg merke til at Dankort, Danmarks største kortnettverk, kommer til å kreve SCA allerede etter 31. desember 2020. |
Finland | I Finland har reglene for SCA vært gjeldende siden 30. desember 2020. |
Frankrike | Frankrike innfører reglene etter 31. mars 2021. |
Hellas | I Hellas har reglene for SCA vært gjeldende siden 30. desember 2020. |
Irland | Ikke angitt tidsramme |
Italia | I Italia har reglene for SCA vært gjeldende siden 30. desember 2020. |
Litauen | Ikke angitt tidsramme |
Luxemburg | I Luxembourg har reglene for SCA vært gjeldende siden 30. desember 2020. |
Malta | I Malta har reglene for SCA vært gjeldende siden 30. desember 2020. |
Nederland | I Nederland har reglene for SCA vært gjeldende siden 30. desember 2020. |
Norge | I Norge har reglene for SCA vært gjeldende siden 30. desember 2020. |
Polen | Ikke angitt tidsramme |
Slovenia | I Slovenia har reglene for SCA vært gjeldende siden 30. desember 2020. |
Spania | I Spania har reglene for SCA vært gjeldende siden 30. desember 2020. |
Storbritannia | I Storbritannia kommer reglene til å gjelde fra 14. september 2021. |
Tyskland | I Tyskland har reglene for SCA vært gjeldende siden 30. desember 2020. |
Ungarn | I Ungarn har reglene for SCA vært gjeldende siden 14. desember 2020. |
Østerrike | I Østerrike har reglene for SCA vært gjeldende siden 30. desember 2020. |
Vær klar når 3-D Secure 1 fases ut
Dette må bedriftene gjøre for å garantere etterlevelse:
- Forstå hvordan SCA-kravene berører virksomheten
- Legge opp en strategi for hvordan man skal håndtere de gjeldende unntakene
- Implementere 3-D Secure 2
Vanlige spørsmål og svar om PSD2, Strong Customer Authentication og 3-D Secure 2
Vil 3-D Secure 2 bli et krav?
På sikt vil 3-D Secure 1 bli faset ut. Utviklingen for å fase ut 3-D Secure 1 drives frem av kortnettverkene, de kortutstedende bankene og lovgivningen. Det kan være vanskelig å ha oversikt over alle endringer som skjer, og Adyen anbefaler derfor dynamisk 3-D Secure, som automatisk registrerer om 3-D Secure skal vises eller ikke, og om det er krav om 3-D Secure 2.
Slik kan dynamisk 3-D Secure forenkle behandlingen av PSD2
Automatisert behandling av PSD2 og SCA
Reduser andelen avviste kjøp med automatisert behandling av PSD2, SCA og 3-D Secure.
Les merFinnes det en tommelfingerregel for hvilke kjøp som blir påvirket?
Alle nettkjøp som gjennomføres med kort når forhandleren eller kortinnløseren er basert i Europa, kan kreve sterk kundeautentisering länk till sca blogginlägg (Strong Customer Authentication, SCA).
es det noen typer kjøp som ikke er omfattet av direktivet?
Hensikten med SCA-kravene er å sikre at det er korteieren som gjennomfører kjøpet. I noen tilfeller er ikke dette mulig, f.eks. ved kjøp som blir gjort med firmakort eller ved rullerende abonnementer, eller kjøp som blir gjort over telefon. Disse transaksjonene omfattes ikke av direktivet. Forhandleren kan velge å bruke 3-D Secure, men banken kommer ikke til å overta risikoen.
Forhandlere eller forbrukere har også mulighet til å be om unntak. Forhandleren kan be den kortutstedende banken om ikke å bruke 3-D Secure ved kjøp under 300 kroner. Forbrukere kan dessuten velge å hviteliste en forhandler etter at de har benyttet 3-D Secure én gang.
Hva er forskjellen på kjøp som ikke er omfattet av direktivet, og unntak?
Ved kjøp som ikke omfattes av direktivet, kommer den kortutstedende banken aldri til å be om 3-D Secure, og de kommer heller ikke til å overta risikoen selv om kunden gjennomgår 3-D Secure.
Ved unntak er det fremdeles en mulighet for at brukeren må gjennomgå 3-D Secure. I så fall overtar den kortutstedende banken risikoen.
es mer om unntak og hvordan de kan behandles (länk till sca vad betyder sca här)
Flere land har valgt å rulle ut direktivet i ulike faser for å gi forhandlere og banker mer tid til å tilpasse seg de nye reglene. Legg også merke til at 3-D Secure 1 vil bli faset ut etter29. desember 2020og må erstattes med 3-D Secure 2.
Meld deg på vårt nyhetsbrev
Abonner på e-postvarsler
Jeg bekrefter at jeg har lest Adyens personvernpolicy og at jeg godtar at opplysningene mine brukes i samsvar med policyen.