DIBS Blogg

Så fungerar SCA – nya kravet från EU på kortbetalningar

sca blogg

Den 14 september 2019 är ett viktigt datum för e-handeln i Europa. Då införs ett krav på att alla betalningar på nätet ska verifieras av köparen, förutom några typer av betalningar som är undantagna. Den här förändringen är en del i strävan att göra EU till en enda inre marknad där samma regler gäller för alla och där konsumentskyddet är starkt. Kravet är en del i EU:s regelverk PSD2 (Payment Service Directive 2).

 Verifieringen av betalningarna ska ske genom att konsumenten godkänner betalningen med tvåfaktorsautentisering*.  EU:s regler kallar detta för Strong Customer Authentication (SCA) men på svenska kallar vi det det stark kundverifiering.

 I praktiken genomförs den starka verifieringen med hjälp av 3D Secure. Så kravet på SCA riktar sig mot den kortutgivande banken som behöver se till att deras konsumenter verifierar sig enligt reglerna, exempelvis med hjälp av Mobilt BankID. Så den stora förändringen blir i realiteten att alla europeiska webbutiker kommer behöva använda 3D Secure. I Norden använder de flesta webbutikerna redan 3D Secure så här blir förändringen inte lika stor som i andra delar av Europa.

Det intressanta med de nya reglerna är att det finns köp som inte behöver genomgå den starka kundverifieringen. Det öppnar för en ökad konvertering för de webbutiker som redan använder 3D Secure. Till exempel så omfattas inte köp som sker via telefon eller brevledes där man ger sitt kortnummer muntligt eller skriftligt (kallas ofta MOTO-betalningar - Mail Order/Telephone Order). Inte heller om kortutgivaren eller kortinlösaren är baserad utanför EU. Här kommer några fler situationer där konsumenten kan få slippa den starka kundverifieringen. 

 Undantag för prenumerationer med samma belopp

Det finns undantag för prenumerationsbetalningar men då gäller att första betalningen måste ske med stark kundverifiering och att följande transaktioner är på samma belopp.

Undantag för köp initierat av säljföretag

Detta undantag kan ske när säljföretaget drar pengar från ett sparat kort enligt avtal och konsumenten inte medverkar i en checkout. Exempelvis för prenumerationer där beloppet varierar, som när en konsument har lämnat medgivande till sin telefonoperatör att dra kostnaden för din förbrukning från sitt kort.

 Undantag för små belopp

För belopp under 30 EUR finns det också undantag från kundverifieringen. Men den måste ändå göras för var femte transaktion eller när det samlade beloppet för dessa köp passerar 100 EUR. Detta håller kortutgivaren reda på.

Undantag för köp med liten risk

Kortutgivaren kan också göra undantag om kortinlösaren har bedömt att det finns liten risk för bedrägeri på en transaktion. Det finns en mängd regler att ta hänsyn till här för inlösaren som vi inte går in på, men värt att notera är att inlösare som är duktiga på att minimera bedrägerier får möjlighet att begära undantag ända upp till 500 EUR.

Undantag för säljföretag på vitlista

Tanken finns också att konsumenten ska kunna sätta upp företag på en vitlista hos sin kortutgivare och därmed slippa den starka kundverifieringen på efterföljande köp. Hur detta exakt ska gå till är ännu inte helt klart.

Undantagen är inte en rättighet

Det är viktigt att förstå att det är den kortutgivande banken som beslutar om ett köp ska få använda sig av någon av undantagen. Du kan räkna med att olika kortutgivare kommer tillämpa dessa regler på olika sätt. 

3D Secure 2.0

För att den kortutgivande banken ska kunna godkänna ett undantag behövs det skickas in mycket mer data än vad som går att göra i dagens version av 3D Secure. Den nya versionen, som DIBS kommer att använda, gör det möjligt att skicka med all data som krävs för alla undantag. Dessutom ger den nya versionen en bättre kundupplevelse både i desktop, appar och mobil, både i utseende och funktion.

Blir det bättre eller sämre?

För de allra flesta webbutikerna blir det bättre.  För en webshop som redan har ett normalt flöde där kortet auktoriseras och debiteras inom några dagar och som använder 3D Secure kommer det bli en förbättring på sikt. Detta beror på att undantagen, till exempel för för låg risk eller för små belopp, ger möjlighet att hoppa över den starka kundverifieringen vilket ökar konverteringen. Dessutom kommer den nya versionen av 3D Secure ge en bättre kundupplevelse i desktop, appar och mobil, både i utseende och funktion, vilket också kommer bidra.

 Företag som använder sig av en prenumerationsmodell med samma belopp vid varje dragning måste nu göra en kundverifiering vid första köpet. Därefter ber vi kortutgivaren om ett undantag för ”prenumeration med samma belopp”. Om det är en prenumerationsmodell med varierande belopp ber vi istället banken om ett undantaget ”Köp initierat av säljföretag”.

 Observera att om konsumentens bank inte godkänner något av de begärda undantagen måste konsumenten genomgå en stark kundverifiering. För prenumerationer kan det till exempel ske genom att skicka ett mail till konsumenten om att transaktionen måste godkännas på den medföljande länken. Här kan det alltså bli en försämring.

* Tvåstegsautentisiering (2FA) innebär att verifieringen av betalningen måste bestå av två av dessa tre element: något du vet (t ex ett lösenord) - något du har (t ex din mobiltelefon) - något du är (t ex ditt fingeravtryck)

 Det betyder att en verifiering där konsumenten  använder sin mobil och sitt mobila bankID uppfyller kravet på hur en stark kundverifiering ska gå till.

DIBS Payment Services AB
Kungsgatan 32
111 35 Stockholm
Telefon: 08-527 525 00


DIBS Payment Services i Göteborg
Kyrkogatan 25, vån 3
411 15 Göteborg
Telefon: +46 (0)31-600 800