Planerne betyder, at danske netbutikker i løbet af oktober 2020 bør begynde at bruge de nye IT-løsninger for at være sikre på at undgå afviste kortbetalinger. Reglerne træder i kraft 1. januar 2021, men allerede nu bør netbutikkerne gøre sig klar til de nye regler.
De europæiske tilsynsmyndigheder har fastsat en fælles implementeringsperiode med én deadline for håndhævelsen af de nye regler om stærk kundeautentifikation for kortbetalinger i e-handlen den 1. januar 2021. Målet med implementeringsperioden er at undgå store forstyrrelser i e-handlen. Det betyder, at alle kortudstedere (typisk pengeinstitutter) og kortindløsere i EU fra den 1. januar 2021 som udgangspunkt skal afvise kortbetalinger i netbutikker, der ikke er godkendt med stærk kundeautentifikation. Den fælles europæiske deadline betyder, at der vil være lige vilkår for alle kortudstedere, kortindløsere og netbutikker i hele EU.
For at sikre en stabil betalingsafvikling henover årsskiftet og for at undgå driftsmæssige forstyrrelser i julehandlen vil Finanstilsynet undtagelsesvist acceptere, at stærk kundeautentifikation i praksis anvendes for alle betalinger senest den 11. januar 2021. Det betyder, at Finanstilsynet forventer, at pengeinstitutter og andre kortudstedere senest fra 11. januar 2021 begynder at afvise kortbetalinger, der ikke er korrekt godkendt med stærk kundeautentifikation. Finanstilsynet understreger dog, at kravet om stærk kundeautentifikation har været gældende siden 14. september 2019.
Set i lyset af den lange tid, som sektoren og detailhandlen har haft til at komme på plads, finder Finanstilsynet det beklageligt, at en samlet løsning ikke kan være helt klar til 1. januar 2021, uden at dette kan give betydelige udfordringer for handlen i den resterende del af 2020. Finanstilsynet har derfor fundet anledning til at indskærpe kravene over for både sektoren og detailhandlen, og tilsynet forventer at følge op med tilsynsindsatser i begyndelsen af 2021.
Hvad er stærk kundeautentifikation?
Stærk kundeautentifikation – også kaldet tofaktor-autentifikation – indebærer, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget, betaleren ved (f.eks. et password); noget, betaleren har (f.eks. en mobiltelefon, der kan modtage en engangskode); eller noget, betaleren er (f.eks. et fingeraftryk). Reglerne gælder i hele EU.
Formålet med reglerne er at styrke sikkerheden ved elektroniske betalinger i Europa. ECB opgjorde i august 2020 omfanget af misbrug med betalingskort i EU i 2018 til at udgøre 1,8 milliarder euro.
Hvad sker der nu, og hvad skal man gøre som netbutik?
Finanstilsynet har godkendt planer fra danske kortindløsere og pengeinstitutter for, hvordan de vil leve op til de nye regler inden den 1. januar 2021. Planerne indebærer, at alle aktørerne har systemerne på plads inden 1. januar 2021. For at sikre en stabil betalingsafvikling henover årsskiftet og forhindre it-problemer i juleperioden forventer Finanstilsynet som nævnt, at stærk kundeautentifikation senest anvendes for alle betalinger den 11. januar 2021.
Netbutikker og deres betalingsgateways bør derfor allerede nu forberede sig på de nye regler. Forberedelserne bør indebære, at de nye IT-løsninger er ordentligt testet og fungerer i praksis i god tid før den 1. januar 2021. Fungerer IT-løsningerne ikke ordentligt, risikerer netbutikker at få afvist sine betalinger. For at undgå afviste betalinger bør netbutikkerne derfor tage de nye IT-løsninger i brug snarest muligt. Alle kortindløsere og pengeinstitutter skal være klar til at understøtte brugen af de nye løsninger.
Finanstilsynet understreger, at implementeringsperioden ikke ændrer på, at reglerne om stærk kundeautentifikation trådte i kraft den 14. september 2019. Dette er bl.a. relevant for hæftelses- og ansvarsreglerne i lov om betalinger i tilfælde af, at der ikke er anvendt stærk kundeautentifikation.
Hvis netbutikker er i tvivl, om de er klar til de nye regler, bør de rette henvendelse til deres udbyder af betalingsgateway eller til deres kortindløser. Kortindløseren vil kunne oplyse nærmere om, hvordan implementerings-planerne vil påvirke den enkelte netbutik og betalingsgateway.
Finanstilsynet forventer at gennemføre tilsyn hos pengeinstitutter og kortindløsere i løbet af februar og marts 2021 med henblik på at sikre, at reglerne bliver implementeret. Tilsynet planlægges til februar og marts for at sikre, at pengeinstitutterne og kortindløserne har tid til at sikre at implementeringen er gennemført korrekt i løbet af januar, under hensyn til bl.a. IT-sikkerhedsmæssige tiltag som frozen zone, hvor der ikke sættes nye it-løsninger i produktion henover med årsskiftet.
Baggrund
Den 14. september 2019 træder nye EU-regler for betalinger i kraft. Reglerne udspringer af det reviderede betalingstjenestedirektiv, PSD2, som blev implementeret i dansk lov i januar 2018. Reglerne, der er specificeret i en delegeret forordning fra Europa-Kommissionen , skal bl.a. medvirke til at gøre det mere sikkert at lave elektroniske betalinger. Dette sker først og fremmest ved, at der indføres et krav om stærk kundeautentifikation. De europæiske banktilsynsmyndigheder offentliggjorde i juni 2019, at de fra 1. januar 2021 vil begynde at føre tilsyn med reglerne.
Stærk kundeautentifikation – eller tofaktor-autentifikation – indebærer, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget, betaleren ved (fx et password); noget, betaleren er (fx et fingeraftryk); eller noget, betaleren har (fx en mobiletelefon, der kan modtage en engangskode).
Ifølge tal fra Nationalbanken blev der i 2019 begået misbrug med danske betalingskort for ca. 240 mio. kr. Heraf udgjorde misbrug i onlinehandel ca. 195 mio. kr., og dermed knap 80 pct. af det samlede misbrug. Det er bl.a. dette misbrug, de nye regler skal være med til at dæmme op for.
Krav om stærk kundeautentifikation
I fysisk handel i Danmark anvendes der allerede i dag stærk kundeautentifikation i form af autentifikation via chipkort (noget, betaleren har) og pinkode (noget, betaleren ved).
I ikke-fysisk handel, primært inden for onlinehandel, har der derimod traditionelt set ikke været anvendt stærk kundeautentifikation i vidt omfang i Danmark. Ofte er det alene de oplysninger, der fremgår af kortet, der er blevet brugt til at gennemføre betalingen.
Med de nye regler skal der som udgangspunkt anvendes stærk kundeautentifikation, når en betaler foretager en elektronisk betaling. Det indebærer, at en online kortbetaling skal godkendes med to elementer, eksempelvis ved indtastning af et kodeord og engangskode modtaget via sms.
Undtagelser fra kravet om stærk kundeautentifikation
Reglerne om stærk kundeautentifikation gælder ifølge lov om betalinger for alle betalinger, der ikke er eksplicit undtaget herfra. Mulighederne for undtagelse fra kravet om stærk kundeautentifikation fremgår af den delegerede forordning fra Europa-Kommissionen.
I fysisk handel omfatter undtagelserne fra kravet primært betalinger på op til 375 kr. med kontaktløse kort og betalinger i ubemandede terminaler til offentlig transport og parkering, såsom rejsekort og BroBizz.
I ikke-fysisk handel omfatter undtagelserne fra kravet bl.a. små betalinger på op til 225 kr. og betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over betroede modtagere. Det er derudover ifølge reglerne muligt at undlade at anvende stærk kundeautentifikation ved tilbagevendende betalinger på samme beløb til den samme modtager, hvis bare den første betaling i rækken er godkendt med stærk kundeautentifikation.
Hvad kommer det til at betyde?
For forretninger og andre erhvervsdrivende
De nye regler vil først og fremmest påvirke forretninger og andre erhvervsdrivende, der modtager betaling fra forbrugere i online handel. Forretninger, der alene modtager betaling i fysisk handel, vil som udgangspunkt ikke blive påvirket, da der som nævnt allerede i dag anvendes stærk kundeautentifikation ved fysisk handel.
Før en betaling kan foregå med stærk kundeautentifikation, er det nødvendigt, at alle led i betalingskæden understøtter dette teknisk. Det omfatter både kortudstedere og kortindløsere samt internetforretninger og de såkaldte betalingsgateways, der leverer tekniske løsninger til internetforretningerne. Alle disse led i kæden skal sikre, at de har løsninger klar, der teknisk understøtter brugen af stærk kundeautentifikation.
Konsekvensen for netbutikker, der ikke er klar, kan være vidtrækkende. Disse forretninger vil i vidt omfang være afskåret fra at modtage betalinger. Det skyldes, at betalinger, der ikke er godkendt med stærk kundeautentifikation, som udgangspunkt ikke må gennemføres efter 1. januar 2021.
Internetforretninger, som ikke vil risikere at få afvist deres kunders betaling, skal altså sikre, at de teknisk er klar til at modtage betalinger, der er godkendt med stærk kundeautentifikation.
Er man som forretning i tvivl om, hvorvidt man kan modtage betalinger med stærk kundeautentifika¬tion, bør man tage kontakt til sin kortindløser eller gateway-udbyder, som vil kunne hjælpe. Hvilke undtagelsesmuligheder der i praksis kan anvendes, vil ligeledes afhænge af, hvad en kortindløser eller gateway-udbyder kan tilbyde.
For forbrugere
I fysisk handel vil danske forbrugere ikke opleve nogen ændring med regler om stærk kundeautentifikation. I online handel vil danske forbrugere senest den 1. januar 2021 opleve, at de i højere grad end tidligere skal anvende en ny løsning til at godkende betalinger i nethandel. Den nye løsning vil som udgangspunkt indebære, at en forbruger skal anvende et kodeord og en engangskode modtaget via sms, eller ved at bruge sin NemID-app.
Pengeinstitutterne vil i løbet af efteråret 2020 rulle den nye løsning ud. Forbrugere, der handler på nettet vil derfor opleve at skulle oplyse sit telefonnummer til sit pengeinstitut. Telefonnummeret skal oplyses, for at der kan fremsendes en sms-kode, hvis man ikke tidligere har oplyst sit telefonnummer til sit pengeinstitut.
Er man som forbruger i tvivl om, hvordan man skal forholde sig til de nye regler, skal man tage kontakt til sit pengeinstitut.
Ansvar ved manglende brug af stærk kundeautentifikation
De nye regler medfører, at en forbruger ikke hæfter for tab ved eventuelt misbrug, hvis der ikke er anvendt stærk kundeautentifikation.
For netbutikker der vil anvende undtagelserne i de nye regler, er det vigtigt at være opmærksom på, hvem der pålægges ansvaret for eventuelt misbrug.
I de tilfælde, hvor kortudsteder, kortindløser eller forretning vælger at tilbyde betalinger uden brug af stærk kundeautentifikation, vil den virksomhed, som træffer det valg, som udgangspunkt hæfte for alle tab i forbindelse med et eventuelt misbrug. Det gælder, med mindre andet er aftalt mellem forretning, kortindløser og kortudsteder. I praksis vil det ofte være sådan, at det er forretningen, som skal træffe denne beslutning. Dermed vil det typisk være forretningen, som kommer til at hæfte.