Payment Services Directive 2 (PSD2) og Stærk kunde autentificering – FAQ

PSD2 trådte i kraft d. 13. januar 2018. Det er resultatet af en udvidelse af lovkrav vedrørende betalinger i Europa, der nu er omsat til lokal lovgivning af de enkelte medlemsstater i EU.

Bestemmelserne i PSD2 får først virkning fra 14. september 2019.

Et af hovedformålene er at gøre online betalinger mere sikre for kunderne. Et kerneelement til opnåelse af dette mål er obligatorisk brug af Stærk kunde autentificering. Dette skal udføres før enhver bankbaseret online betaling gennemføres (fx kreditkortbetalinger eller online overførsler).

De fleste banker har allerede kontaktet deres kunder inden for de seneste måneder for at informere dem om de kommende ændringer til og forandringer i deres Vilkår og Betingelser.

Fremover skal bankerne verificere to ud af tre kriterier vedrørende deres kunde før en online betaling indledes:

• noget du ejer (fx kreditkort, smartphone)
• noget du ved (fx PIN)
• noget du er (fx fingeraftryk, ansigtstræk)

Dette betyder at for kunne opfylde kravene for Stærk kunde autentificering, kan det være nødvendigt for kunden at afgive fingeraftryk via en smartphone for at kunne autorisere en betaling.

Sådanne biometriske autentificeringsmetoder gør det lettere for kunderne at identificere sig selv, da de kun skal oplyse noget de altid har med sig, i dette tilfælde smartphone og fingeraftryk.

Statiske passwords er ikke længere nok.

Banker skal forlange, at de handlende kræver Stærk kunde autentificering ved kreditkortbetalinger. De handlende skal derfor vise en side fra banken på deres website gennem hvilken kunderne utvetydigt kan identificere sig selv. Dette sikrer at ingen uautoriserede personer får adgang til bankkontoen og kan gennemføre betalinger i kundens navn.

Overførsler gennem tredjepart, som SOFORT i Tyskland eller iDeal i Holland, kræver ligeledes Stærk kunde autentificering.

Nej. PSD2 giver mulighed for visse undtagelser i brugen af Stærk kunde autentificering.
Stærk kunde autentificering er ikke nødvendig når:

• kundens bank mener der er minimal risiko for at betalingen foretages af en uautoriseret tredje part snarere end af kunden
• betalingen har en max værdi på 30 EUR. Bemærk: Bankerne skal imidlertid kræve Stærk kunde autentificering hvis fem betalinger har fundet sted siden sidste autentificering, eller det totale beløb siden sidste autentificering overstiger 100 EUR.
• kunder betaler til handlende som er listet af deres bank som værende godkendte betalingsmodtagere. Kunden kan normalt gøre dette under autentificeringsprocessen.

Vigtigt:
Trods disse undtagelser kan kundens bank til enhver tid kræve Stærk kunde autentificering. Der er ingen garanti for at Stærk kunde autentificering ikke vil blive forlangt.

Stærk kunde autentificering kræves aldrig når:

• kunden har givet den handlende mandat til at iværksætte betalinger. Dette sker hvis kunden registrerer sig som modtager af den handlendes tjenesteydelser. Kun giver de nødvendige oplysninger for at betalingerne kan gennemføres og gennemfører Stærk kunde autentificering.
• der betales for et abonnement. I sådanne tilfælde skal kunden kun gennemføre Stærk kunde autentificering når de registrerer sig som abonnent.

Kundes bank bestemmer i sidste ende hvilken Stærk kunde autentificeringsmetode der tilbydes. Den handlende har ikke nogen indflydelse herpå.

Ligeledes har den handlende intet kendskab til hvilken Stærk kunde autentificeringsmetode kunderne vælger at benytte.

Dette garanteres af at de iframes, der bruges til at vise siderne for Stærk kunde autentificering, kommer fra banken eller tredjeparts betalingsudbyderen (fx iDeal).

Den handlende har ingen indflydelse på eller adgang til indholdet af de iframes, der vises på deres website.

Det samme gælder for betalingsmåder, hvor den handlende sender kunden videre til betalingsudbyderens hjemmeside (fx SOFORT). De ved ikke hvilke autentificeringsmåder der tilbydes eller vælges af kunden.

3D Secure er helt generelt en proces som er designet til at skabe sikkerhed omkring online kreditkortbetalinger. Det sigter mod at reducere risikoen for svindel ved at kunden bekræfter sin identitet med en kode eller et password.

3D Secure 2.0 er en revision af processen som bringer det på linie med kravene fra PSD2, specielt med Stærk kunde autentificering.

I fremtiden vil kreditkortbetalinger også kræve Stærk kunde autentificering gennem brug af 3D Secure 2.0.

Stærk kunde autentificering sikres af 3D Secure 2.0 fx gennem en app udbudt af kundens bank. Bank siden som vises på den handlendes site vil kræve at kunden åbner app‹en på dennes smartphone. Afhængig af den enkelte metode, kan app‹en så bede om at få kundens fingeraftryk på telefonen.

Banker kan tilbyde forskellige autentificeringsmetoder som deres kunder kan vælge mellem.

Andre mulig metoder inkluderer: engangs password som vises til kunden i en speciel app eller ansigtsgenkendelse via kundens ban app.

Online overførsler gennem betalingsudbydere som SOFORT, iDeal, Multibanco eller Przelewy24 vil også skulle kræve Stærk kunde autentificering i fremtiden.

Mange handlende og banker vil ikke kunne understøtte Stærk kunde autentificering d. 14. september 2019 som krævet.

Som følge deraf, anbefalede Den European Banking Authority (EBA) d. 21. juni 2019, at EU landene og de af deres finansielle myndigheder, der er ansvarlige for implementeringen af PSD2 skulle tilbyde en udsættelse til disse virksomheder.

Som resultat af dette, respekteres deadlinen i nogle lande, mens andre lande vil give deres banker en sådan udvidet implementeringsperiode.
Ikke desto mindre, og også i lande med udvidet implementeringsperiode, vil nogle banker begynde at bruge Stærk kunde autentificering fra og med 14. september 2019.

Kontakt din bank for at finde ud hvordan og hvornår din bank vil begynde at kræve Stærk kunde autentificering.