DIBS Blogg

SCA og PSD2 - sådan fungerer de nye EU-krav til online kortbetalinger

sca-blogbanner

Den 14. september 2019 indføres der et nyt krav i Europa om, at alle online betalinger (med visse undtagelser) skal verificeres af køberen.

Ændringen er et tiltag for at gøre EU til et samlet marked, hvor de samme regler gælder for alle, og hvor forbrugeren er beskyttet. Kravet er en del af EU’s reglement PSD2 (Payment Service Directive 2) og går under navnet SCA – Strong Customer Authentication.

I denne blog kan du læse om, hvad de nye krav betyder i praksis for webshops og forbrugerne. Det gælder om at holde tungen lige i munden med alle de forkortelser, der bruges til at beskrive de nye regler, men vi har gjort vores bedste for at beskrive det kort og præcist herunder.

Læs også: Kom til gratis morgenmadsmøde hos DIBS d. 21. aug., hvor vi gennemgår SCA-kravene på 1 time! Læs mere og tilmeld dig her.

Kunden skal godkende købet

I praksis skal forbrugeren fra d. 14. september godkende online betalinger i to trin (også kendt som ’2 factor authentication’). Det vil sige, at udover et privat kodeord, skal forbrugeren også godkende et køb gennem en ekstra kode, der fx sendes til vedkommendes mobil.

EU kalder denne godkendelsesprocedure for SCA (i Danmark også kendt som ’stærk kundeverifikation’) som udføres ved hjælp af 3D Secure eller lignende protokoller, fx SafeKey fra AmericanExpress.

Det er de kortudestedende banker har ansvaret for, at der er SCA på alle elektroniske transaktioner per d. 14. september. Det betyder med andre ord, at fra d. 14. september skal alle europæiske webshops bruge SCA-protokol, fx 3D Secure, hvilket mange webshops i Norden allerede gør.

Køb, der er undtaget de nye krav

Der vil være online betalinger, der ikke behøver at gennemgå den nye to trin-godkendelse efter d. 14. september.

Bemærk, at det er op til de enkelte banker, hvordan de kommer til at håndtere nedenstående undtagelser. Det er derfor ikke sikkert, at alle undtagelser vil være gældende for alle banker.

Undtagelser, der kan anvendes af forretningsdrivende:

Abonnementer med fast pris

Tilbagevendende betalinger/abonnementer er undtaget de nye krav, dog skal den første betaling igennem to trin-godkendelsen og de efterfølgende betalinger skal være for samme beløb.

Betaling efter forbrug

Denne undtagelse gælder når sælger trækker penge fra et gemt betalingskort i henhold til en aftale, og hvor forbrugeren ikke går igennem en checkout. Fx ved mobilabonnementer, hvor prisen varierer og kunden har givet samtykke til leverandøren om, at de må trække omkostningerne til mobilforbruget på kundens betalingskort.

Undtagelser, der kan anvendes af indløser og banker:

Køb for små beløb

Når købet er for under 30 EUR er kravet om verifikation også undtaget, men det skal stadig gøres for hver femte transaktion, eller når det samlede beløb for de små køb overstiger 100 EUR.

Køb med lav risiko

Kortudstederen kan også gøre undtagelser, hvis forbrugeren har vurderet, at risikoen for bedrageri ved en transaktion er lav. Her er der mange regler at tage højde for i forhold til indløseren som vi ikke har med i denne blog, men det er værd at bemærke, at indløsere, som er gode til at minimere bedrageri, får mulighed for at anmode om undtagelser på op til 500 EUR.

White listed virksomheder

Tanken er, at forbrugerne har mulighed for at tilføje virksomheder på en såkaldt ’white list’ hos deres kortudsteder og dermed undgå to trins-godkendelsen ved efterfølgende køb. Det er endnu uklart, hvordan dette præcist skal foregå.

3D Secure 2.0 og DIBS

For at de kortudstedende banker skal kunne godkende en undtagelse, er der brug for meget mere data end hvad der bruges til den nuværende version af 3D Secure. Den nye version, som DIBS vil anvende, gør det muligt at sende alle de data, der kræves for alle undtagelser.

Derudover giver den nye version en bedre kundeoplevelse, både på computer, mobil og i apps, både i forhold til udseende og funktion.

Bliver det så bedre eller værre med SCA?

For flertallet af webshops bliver det bedre. For en webshop, der allerede har et normalt flow, hvor kortet godkendes og debiteres inden for et par dage og som bruger 3D Secure, vil det på sigt blive en forbedring, da der vil være mulighed for at udnytte undtagelserne til at øge sin konvertering.

Ved undtagelser, som fx ved lav risiko-køb eller små beløb, vil det være muligt at undgå den ekstra godkendelsesproces og derved få flere kunder igennem købsflowet. Derudover vil den nye version af 3D Secure give en bedre kundeoplevelse pga. det forbedrede design og funktion.

Abonnementsbetalinger

Virksomheder, der bruger en abonnementsmodel med fast pris og fast frekvens, skal nu foretage en kundeverifikation (to trin-godkendelse) ved første betaling. De efterfølgende betalinger vil henvise tilbage til den første betaling som er gået igennem SCA som bevis på, at forretningsdrivende og forbruger har en aftale om at forretningsdrivende må hæve abonnementbetalinger på forbrugerens kort. 

Hvis abonnementet svinger i pris, skal virksomheden bede kortudstederen om undtagelsen ”Køb initieret af salgsvirksomheder” som beskrevet under punktet "betaling efter forbrug".

Bemærk, at hvis forbrugerens bank ikke godkender nogen af de ønskede undtagelser, skal forbrugeren gennemgå to trins-godkendelsen/kundeverifikationen. I så fald vil det selvfølgelig forringe købsflowet.

 

Mere teknisk information om SCA til DIBS-kunder

Vi har samlet tekniske guides og mere dybdegående information om SCA her.

Engelsk Nets-webinar om SCA

Herunder kan du se Nets-webinaret om SCA, der forklarer hvordan de nye krav påvirker webshops:

 

DIBS Payment Services AB
Kungsgatan 32
111 35 Stockholm
Telefon: 08-527 525 00


DIBS Payment Services i Göteborg
Kyrkogatan 25, vån 3
411 15 Göteborg
Telefon: +46 (0)31-600 800