PSD2 (Payment services directive 2) kræver en stærk kundeautentifikation ved alle korttransaktioner, som gennemføres ansigt til ansigt (kort til stede) .
Denne brancheomfattende ændring, som har til formål at reducere betalingsbedrageri og at forbedre sikkerheden for kunder og virksomheder i hele EU, indføres ved lov den 14. september 2019.
Stærk kundeautentifikation
Stærk kundeautentifikation betyder, at banker er skal autentificere kortindehaveren som den virkelige ejer af betalingskortet, inden de godkender transaktionen.
For at bevise at vedkommende er den virkelige ejer af kortet, skal kortindehaveren levere mindst to af tre mulige autentifikationsfaktorer til sin bank, når vedkommende bliver bedt om det.
Autentifikationsfaktorer
Disse kan omfatte enhver kombination af to af følgende:
Viden – dette henviser til noget, som kun kortindehaveren og dennes bank ved.
PIN-koder er allerede den branchestandardmetode, der bruges til at opfylde dette krav.
Besiddelse – dette er noget, som kortindehaveren har, og som anerkendes af banken.
I et butiksmiljø opfylder Chip og PIN-kode samt kontaktfrie modtagelsesenheder automatisk dette krav.
Særkende – dette er noget unikt for kortindehaveren, som kan bekræftes af dennes bank.
Et fingeraftryk, ansigtsgenkendelse eller en irisscanning er eksempler på faktorer, hvis anvendelse og tilgængelighed vil øges med tiden, i takt med at teknologien udvikler sig og modnes.
Chip og PIN-kodetransaktioner
Chip og PIN-kode er en veletableret, dokumenteret og vellykket del af det europæiske betalingslandskab. Disse transaktionstyper opfylder allerede to-faktorkravet og er i overensstemmelse med direktivet. Fortsæt med at behandle disse transaktioner på samme måde, som du gør det i dag.
Kontaktfrie transaktioner
De praktiske kontaktfrie transaktioner vil fortsat eksistere, men de nye regler fastsætter øvre grænser for antallet af anvendelser eller akkumulerede transaktionsbeløb, der kan finde sted, inden kortindehaverens bank skal afprøve og autentificere kortindehaveren.
Kortindehavere kan fortsætte med at foretage kontaktfrie køb under 50 €, indtil de enten har foretaget 5 kontaktfrie transaktioner i træk uden autentifikation eller den samlede værdi for ikke-autentificerede transaktioner overstiger 150 €. Dette er de øvre grænser, som er fastsat i loven. Banker kan vælge at implementere strengere kontroller, hvis de anser en transaktion for at have en høj risikoniveau, eller hvis den nationale lovgivning fastsætter lavere grænser.
Under alle omstændigheder er det ligesom i dag, ikke muligt at forudsige, hvornår disse grænser nås, eller hvilken specifik transaktion der vil medføre, at sikkerhedsniveauet øges.
Hvis du allerede i dag tager imod mange kontaktfrie transaktioner via din forretning, er du sikkert bekendt med denne proces. Her bliver den kontaktfrie betaling afvist, og kortindehaveren bliver bedt om at indtaste sin PIN-kode eller indsætte kortet i kortlæseren for at gennemføre en Chip og PIN-kodetransaktion.
Dette gennemfører transaktionen og nulstiller kortindehaverens grænsetællere, så muligheden for at foretage kontaktfrie betalinger genetableres.
Manuelt behandlede transaktioner – kortindehaver til stede
Manuelt behandlede transaktioner, hvor kortindehaveren er til stede, vil ikke længere være tilladte i henhold til reglerne. Disse transaktionstyper omfatter magnetstribetransaktioner og fallback-transaktioner med Chip og PIN-kode, som gennemføres ved manuelt at indtaste kortoplysningerne i din betalingsenhed. Ifølge loven skal bankerne nu afvise disse transaktionstyper, fordi de ikke kan autentificeres med to faktorer.
Manuelt behandlede transaktioner hvor kortindehaver IKKE er til stede
Hvis du manuelt indtaster transaktioner på din betalingsenhed, fordi du tager imod telefon- eller postordrebetalinger som en del af din forretning, kan du fortsætte med at gøre dette. MOTO-transaktioner (postordre-/telefonordretransaktioner) falder uden for reglernes anvendelsesområde.
Undtagelser fra stærk kundeautentifikation
Uovervågede kortmodtagelsesenheder
Af praktiske grunde gælder reglerne ikke for visse brancher. Disse undtagelser gælder kun for enheder til uovervåget transport- og parkeringsmodtagelse, som er forbundet med MCC-koder (Merchant Category Codes). Alle andre uovervågede enheder inklusive salgsautomater ligger inden for reglernes anvendelsesområde og skal understøtte muligheden for at gennemføre stærk kundeautentifikation, når der anmodes om det, via PIN-kode eller Chip og PIN-kode.
Uden for anvendelsesområdet – "one leg out"
Loven gælder kun for Det Europæiske Økonomiske Samarbejdsområde (EØS), så kort, der er udstedt uden for området, kan stadig behandles inden for EØS som normalt, herunder med magnetstribe og underskrift, fallback-transaktioner med chip og PIN-kode samt manuelt indtastede transaktioner. Det er ikke nemt at identificere et kort, der er udstedt af en bank uden for EØS. Fortsæt med at gennemføre dine transaktioner sådan, som du gør det i dag. Kortindehaverens bank vil så automatisk registrere, at disse transaktioner ikke behøver at blive afprøvet.
Forberedelse til deadline
De største ændringer, som indføres med de nye regler, vil opleves i transaktionskanaler med større risiko. Det drejer sig om betalingstransaktioner, der foretages via fjernkanaler som f.eks. internettet og mobiltelefoner, hvor kortindehaveren ikke er til stede, og hvor stærk kundeautentifikation ikke allerede finder udbredt anvendelse.
Denne manglende tilgængelighed af passende udviklede teknologiplatforme, som kræves for at foretage disse ændringer, har udfordret branchen og har fået Den Europæiske Banktilsynsmyndighed til at overveje en udsættelse af deadline for håndhævelsen.
Nogle nationale lovgivere har allerede forpligtet sig til en udvidet tidsramme for efterlevelsen i forbindelse med disse mere komplekse transaktionsstrømme i det virtuelle miljø, og en øjeblikkelig håndhævelse kan derfor ikke forventes.
Dette er ikke tilfældet for dine transaktioner i den fysiske verden. Er du forberedt?
Hvad dette betyder for din forretning?
Fortsæt med at behandle dine korttransaktioner på salgsstedet på dine enheder, sådan som du gør det i dag.
Oplevelsen med Chip og PIN vil fortsætte uændret.
Vær opmærksom på, at du for kontaktfrie transaktioner formentlig vil opleve en stigning i det antal gange, dine kunder bliver bedt om at indtaste deres PIN-kode eller om at gennemføre transaktionen ved at indsætte deres kort i kortlæseren og gennemføre en Chip og PIN-kodetransaktion.
Dine kunders betalingsoplevelse kan variere i de første par måneder efter ikrafttrædelsen og overgangen til de nye responser med øgning af sikkerhedsniveauet, som bankerne vil introducere. Nogle banker vil være nødt til at gennemgå en fase med genudstedelse af kort for at foretage ændringerne, og ikke alle betalingsmodtagelsesenheder samt deres forbindende gateways og behandlere forventes at kunne koordinere deres opdateringer præcist i hele EU.
Hvis din forretning drives af et stort antal kontaktfrie transaktioner, og du aktivt håndterer køer og travle betalingskasser, anbefales det at have flere medarbejdere klar i tilfælde af en øgning af antallet af PIN-kodeanmodninger eller Chip og PIN-kodeanmodninger. I de fleste tilfælde skal du dog blot sørge for, at dine medarbejdere er orienterede om ændringen.
Hvad skal du gøre, hvis en transaktion bliver afvist
Behandl dine korttransaktioner og dine kontaktfrie transaktioner på den normale måde.
Hvis en kontaktfri transaktion ser ud til ikke at fungere, eller hvis transaktionen bliver afvist, bør du foreslå kunden at indsætte kortet og gennemføre en Chip og PIN-kodetransaktion.
Hvis kortindehaveren har penge på sit kort, vil denne procedure nulstille vedkommendes grænsetæller for kontaktfrie betalinger, som vedkommendes bank har indstillet, og transaktionen vil blive gennemført.
Hvis transaktionen stadig bliver afvist, bør du foreslå kortindehaveren, at denne kontakter sin bank, og bede om, at der anvendes en anden betalingsmetode.
Risiker ikke at miste transaktioner eller kunder.
Sørg for, at dine medarbejdere er opmærksomme på disse ændringer. Forhøjelse af sikkerhedsniveauerne for transaktioner bidrager til at beskytte os alle sammen bedre mod bedrageri.